3月15日讯 根据美国国防部五角大楼的科学顾问们所言,美国军方的大部分武器系统没有采取任何旨在保护其硬件组件免受网络攻击侵扰的措施,有相关证据证明,部分装备中存在数字后门,一旦在这种状态下实战,敌方完全能够令美方武器陷入瘫痪。
美国国防部最新报告:美军武器系统可能已经被植入后门-E安全
在最新公布的报告当中,美国国防科学委员会公布了由其网络供应链任务小组整理出的研究结果,尽管报告结论认为确实存在风险,但出于资本成本的考量,由国防部自行建立并维护“代工设施”以制造微芯片恐怕不具备可行性。该委员会郑重警告称,目前的美军武器系统可能已经被植入后门,意味着其很可能在实际作战行动中无法正常发挥作用,甚至会引发更糟的后果。
这份报告指出,“对美国所高度依赖的武器系统进行检查后发现,几乎所有武器的开发、采购与使用方式都没有配合能够切实防止恶意组件植入的正式保护规划”
报告作者同时强调称,“通常系统配置在很长一段时间内不会变动”,那些存在安全漏洞的微电子元件或已被敌方*掌握的相关漏洞信息,或被利用。此类漏洞被利用来实施攻击活动将造成严重危害,因为美国军方人员很难将其与电气或者机械性质的故障问题区分开来。
报告作者警告称,“此次任务小组还观察到了尝试利用恶意植入攻击关键性武器系统但最终失败的实例。类似这种行为是否已经普遍存在尚且不知,但供应链中的假冒电子元件确实证明了这种攻击的潜在可能性。”恶意植入行为在顺利完成之后,“只能在系统启动时才能够被检测到,并最终可能导致设计缺陷。”。“网络供应链安全漏洞可通过系统的整个生命周期实现植入或者识别”,即在军方所谓维护周期之内立足设计、构建与部署等步骤加以实施,且涵盖武器系统日常维护与修理的全部阶段。
美国国防部最新报告:美军武器系统可能已经被植入后门 - E安全
大部分美军武器系统器件老旧情况堪忧
微电子市场的迅猛发展,加之武器系统通常需要很长时间进行设计与构建,美国不得不承认武器系统中使用的组件中平均有70%已然过时,从原始制造商处获得替换性零件也几乎不可能。“这可能会迫使美国国防部从经销商处购买来源不够安全且产地更难以追踪的组件”,即从经销商灰色市场采购,当然这可能又会带来其他的隐患。
报告作者指出,“采用相同微电子部件及嵌入式软件的系统的使用周期越长,敌方就越可能获得更多系统信息并植入、发现安全漏洞。这种漏洞的恶意植入与发现已经受到采购与维护供应链中各方的高度关注。”
目前,美国正在开发的武器系统本应在用于自我保护的安全规划当中囊括这些威胁供应链,然而“保护计划举措的质量与重点皆不够均衡”,其中不少举措更倾向于考量对人员或者系统安全的保护,而非着眼于网络安全漏洞。
即使是将网络威胁纳入其中,论文作者们仍发现“安全与信息系统管理员总在系统设计工作完成之后才着手解决安全问题”——这显然有违安全最佳实践指导。
另外,保护计划举措在采购阶段之后往往即告中止,而事实上武器系统部署完成后其面临的威胁急剧上升。论文作者们称,“没有证据表明在武器系统部署完成后,军方会采取强有力的计划以继续实施保护工作,或者在系统持续使用的过程当中维护相关说明文档。”
本文转自d1net(转载)