Vapensystemen som utvecklas av det amerikanska försvarsdepartementet är sårbara för cyberattacker, vilket innebär att en del ondskapsfull med hackingfärdigheter potentiellt kan ta kontroll över sådana vapen utan att bli märkt, enligt en ny rapport från US Government Accountability Office (GAO), släppt oktober 9.
Och DOD verkade omedveten om hoten: Även om test utförda av DOD själv har visat sådana sårbarheter, berättade avdelningens tjänstemän till GAO att de "trodde att deras system var säkra och diskonterade vissa testresultat som orealistiska", enligt rapporten, som baseras på en analys av DOD-cybersäkerhetstester, policyer och riktlinjer samt DOD-intervjuer.
"Med relativt enkla verktyg och tekniker kunde testare ta kontroll över system och till stor del fungera oupptäckta, delvis på grund av grundläggande problem som dålig lösenordshantering och okrypterad kommunikation," säger rapporten.
I själva verket knäckte ett testteam en administratörs lösenord på bara 9 sekunder. En DOD-tjänsteman sa att lösenordssprickningstiden inte är ett användbart mått på säkerheten för ett system eftersom en angripare kan spendera månader eller år på att försöka bryta sig in i ett system; med den tidslinjen, oavsett om det tar några timmar eller några dagar att gissa ett lösenord är inte meningsfullt. GAO sa dock att ett sådant exempel avslöjar hur lätt det är att göra det vid DOD. (Den trådbundna författaren Emily Dreyfuss rapporterade om 9-sekunders lösenordssprickan den 10 oktober.)
Analysen och rapporten begärdes av Senatens väpnadskommitté i väntan på $ 1,66 biljoner som DOD planerar att spendera för att utveckla sin nuvarande "portfölj" av stora vapensystem.
I allt högre grad är vapensystem beroende av programvara för att utföra sina funktioner. Vapnen är också anslutna till internet och andra vapen, vilket gör dem mer sofistikerade, enligt GAO. Dessa framsteg gör dem också "mer sårbara för cyberattacker", sa GAO.
Alla delar av ett vapensystem som drivs av programvara kan hackas. "Exempel på funktioner som är aktiverade av programvara - och potentiellt mottagliga för kompromisser - inkluderar att sätta på och stänga av ett system, rikta in sig på en missil, upprätthålla en pilots syrenivåer och flyga flygplan," sade GAO-rapporten.
Även om DOD har börjat göra förbättringar inom cybersäkerhet under de senaste åren, sa GAO, står det inför flera utmaningar, varav en är bristen på informationsdelning mellan program. Till exempel, "om ett vapensystem upplevde en cyberattack, DOD-programtjänstemän skulle inte tillhandahållas specifika detaljer om attacken från underrättelsemiljön på grund av typen av klassificering av den informationen", säger rapporten.
Dessutom har DOD svårt att anställa och behålla cybersecurity-experter, säger rapporten.
Även om GAO sa att det inte har rekommendationer nu, anser byrån att sårbarheterna som upptäcktes i sin analys "representerar en bråkdel av totala sårbarheter på grund av testbegränsningar. Till exempel har inte alla program testats och tester återspeglar inte hela utbudet av hot."
Originalartikel om Levande vetenskap.
