您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

美國國防部武器系統缺乏嚴密安全機制

美國政府責任署(Government Accountability Office, GAO)本周針對美國國防部(Department of Defense, DOD)的武器系統發表一篇滲透研究報告,指稱DOD的主要武器系統缺乏嚴密的安全機制,只要利用簡單的工具及技術就能在不被察覺的情況下掌控相關系統。有鑑於DOD正打算支出1.66兆美元來發展現有的武器系統,潛在的對手則已開發鎖定DOD的網路間諜/攻擊技術,使得美國國會要求GAO審核DOD武器系統的網路安全狀態。

GAO表示,現在的武器系統既電腦化又網路化,因而替對手營造了更多的機會,例如維護系統、工業控制系統、飛航軟體系統、生命支援系統、通訊系統、物流系統與資料庫等,而這些只是檯面上可公開的系統,並未計算被列為機密的武器系統。GAO針對DOD的各式武器系統展開滲透測試,其中有兩人一組的團隊只花了一個小時就進入了其中一個武器系統,接著花了另外一天取得該武器系統的完整控制權。儘管有些系統可防範未經授權的遠端存取,卻對近端或是內部人員門戶大開。而且一旦測試人員得以進入某個系統,他們通常能在系統內暢行無阻,還能擴大權限直到取得系統的掌控權。

另有一組測試團隊控制了操作員的終端介面,因此能即時地看到操作員的螢幕畫面,還能操縱此一系統,也能在使用者的終端螢幕上跳出任意訊息。更有許多測試團隊發現他們可以複製、變更或刪除資料,其中一組直接下載了100GB的資料。更令人擔心的是,要存取或控制這些武器系統並不需要大費周章,測試團隊透過簡單的工具及技術就能辦到。例如薄弱的密碼設定到處可見,有人在9秒內就猜出了管理人員的密碼,有些採用商業或開源軟體的系統甚至未變更預設密碼,且相關的安全控制亦不足。總之,GAO認為DOD並未把武器系統的網路安全列為首要之務,也相信此次的發現並非DOD安全缺陷的全貌,因為他們並未測試所有的DOD專案,建議DOD在發展關鍵武器系統之際,應該要先改善相關系統的安全性。

Reference

資料來源:
https://fcw.com/articles/2018/10/09/gao-pwns-dod.aspx
https://www.gao.gov/products/GAO-19-128
https://www.ithome.com.tw/news/126351
完整報告請參閱:
https://www.gao.gov/assets/700/694913.pdf
國家資通安全會報技術服務中心整理

Publish Date
2018/10/23 0:00:00