ABD Savunma Bakanlığı (GAO) tarafından yayınlanan yeni bir rapora göre, ABD Savunma Bakanlığı tarafından geliştirilen silah sistemleri siber saldırılara karşı savunmasız, yani hackleme becerisine sahip bazı kötücülerin fark edilmeden potansiyel olarak bu silahların kontrolünü ele geçirebileceği anlamına geliyor 9.
Ve DOD tehditlere açık görünmüyordu: DOD tarafından yapılan testler bu tür güvenlik açıkları gösterse de, departman yetkilileri GAO'ya "sistemlerinin güvenli olduğuna inandıklarını ve bazı test sonuçlarını gerçekçi olmadığını düşündüklerini" söyledi. DOD siber güvenlik testlerinin, politikalarının ve yönergelerinin yanı sıra DOD görüşmelerinin analizine dayanmaktadır.
Raporda, "Göreceli olarak basit araçlar ve teknikler kullanılarak test uzmanları, kısmen zayıf şifre yönetimi ve şifrelenmemiş iletişim gibi temel sorunlar nedeniyle sistemlerin kontrolünü ele geçirebildi ve büyük ölçüde tespit edilmedi." Dedi.
Aslında, bir test ekibi yöneticinin şifresini sadece 9 saniyede kırdı. Bir DOD yetkilisi, şifre kırma süresinin bir sistemin güvenliğinin yararlı bir ölçüsü olmadığını söyledi çünkü bir saldırgan bir sisteme girmeye çalışmak için aylar veya yıllar geçirebilir; bu zaman çizelgesinde, bir parolanın tahmin edilmesinin birkaç saat veya birkaç gün sürmesi anlamlı değildir. Bununla birlikte, GAO böyle bir örneğin DOD'da bunu yapmanın ne kadar kolay olduğunu açıkladı. (Kablolu yazar Emily Dreyfuss, 10 Ekim'de 9 saniyelik şifre çatlağını bildirdi.)
Analiz ve rapor, DOD'un mevcut büyük silah sistemleri "portföyünü" geliştirmek için harcamayı planladığı 1.66 trilyon dolarlık beklentiyle Senato Silahlı Kuvvetler Komitesi tarafından talep edildi.
Silah sistemleri giderek daha fazla işlevlerini yerine getirmek için yazılıma bağımlıdır. GAO'ya göre, silahlar internete ve diğer silahlara da bağlı. Bu ilerlemeler aynı zamanda onları “siber saldırılara karşı daha savunmasız” hale getirdi.
Bir silah sisteminin yazılım tarafından yönlendirilen herhangi bir kısmı saldırıya uğrayabilir. GAO raporu, "Yazılım tarafından etkinleştirilen ve potansiyel olarak uzlaşmaya yatkın olan işlevlere örnek olarak bir sistemin açılıp kapatılması, bir füze hedeflenmesi, bir pilotun oksijen seviyelerinin korunması ve uçan uçaklar yer alıyor." Dedi.
DOD son birkaç yıl içinde siber güvenlik alanında iyileştirmeler yapmaya başlamış olsa da, GAO, bunun bir tanesi programlar arasında bilgi paylaşımının olmaması olan çeşitli zorluklarla karşı karşıya olduğunu söyledi. Örneğin, "bir silah sistemi bir siber saldırı yaşarsa, DOD program görevlilerine, bu bilgilerin sınıflandırılmasının türü nedeniyle istihbarat topluluğundan gelen bu saldırı hakkında ayrıntılı bilgi verilmeyecektir." Dedi.
Buna ek olarak, DOD siber güvenlik uzmanlarını işe almak ve elde tutmakta zorlanıyor.
GAO şu anda tavsiyede bulunmadığını söylemesine rağmen, ajans, analizinde tespit edilen güvenlik açıklarının "test sınırlamaları nedeniyle toplam güvenlik açıklarının bir kısmını temsil ettiğini düşünüyor. Örneğin, tüm programlar test edilmedi ve testler, tehditleri."
Orijinal makale Canlı Bilim.