美军网络安全漏洞百出,黑客 2 天就入侵 F15 关键系统
| 2019-08-17 10:24 收藏: 1
长期以来注重网络攻击能力的美军,在“以己矛攻己盾”时终于暴露出美军网络安全防御其实“千疮百孔”。美国《星条旗报》14日披露称,“白帽子”黑客轻易入侵美军 F-15 战机的关键系统。该报道担心,随着美军装备对网络系统的依赖性越来越大,如果网络安全性得不到改善,“未来即便是那些造不出先进战机的国家,只需要键盘入侵也能搞垮美军战机”。
F-15 关键系统“轻易遭黑”
报道称,在美国军方授权下,7 名经过严密审查的“白帽子”黑客大显身手,仅用两天时间就成功入侵美空军现役主力战机 F-15 的关键飞行支持系统。据介绍,当 F-15 处于飞行状态时,该系统负责从机载摄像头和传感器收集飞行数据。一旦这些后门漏洞被敌人掌握,就可能关闭美军重要的“可信赖飞机信息下载站”。
这些“白帽子”黑客全部来自五角大楼国防数字服务部门的外包商 Synack 网络安全创业公司,尽管这是他们首次获得授权测试入侵 F-15 战机实体系统,但他们去年已在不接触军用设备的情况下,入侵过类似的军用信息系统,事后美国空军试图“亡羊补牢”,却被证明是徒劳无功。
负责采购、技术和后勤的美国空军部长助理威尔·罗珀证实,美军已改变过去的保守思维,放宽“白帽子”黑客测试入侵、攻击军用敏感设备系统漏洞的限制。他表示,“如果不允许本国最优秀黑客搜索发现美军飞机和武器系统的数字漏洞,那么这些后门将被俄罗斯、伊朗和朝鲜等潜在对手国家的顶级黑客率先掌握”。
威尔·罗珀表示,美军所有战机都有数以百万计的代码行数,只要其中一行存在缺陷,就有可能被对手入侵。即便是一个无法制造先进战机的国家,也能通过键盘入侵搞垮美军战机。为此,明年他将把这些黑客送到内利斯空军基地和克里奇空军基地,深入探测军用飞机的每一个网络安全漏洞,搞清楚哪些后门会让黑客得以控制其他系统,乃至有效控制整架战机。此外,他还计划向“白帽子”黑客开放测试一个军用卫星地面控制系统。
信息安全漏洞“千疮百孔”
美国联邦新闻网 14 日证实,美军信息安全的后门漏洞,远远比想象中还要严重。从今年 3 月到 6 月,美国空军与五角大楼国防数字服务部门联合推进“捉虫赏金”计划,让黑客帮助寻找美国空军门户网站的漏洞,并对发现漏洞者给予 13万美元奖励。在奖金的刺激下,各路黑客先后发现了空军云服务系统的 54 个漏洞。
国防数字服务部门“破解美国空军”项目组成员詹姆斯·托马斯证实,这次悬赏黑客比赛打开了五角大楼无法提供的另一个认知领域,尽管美军编设了专业的内部网络防护团队,开发安装了网络扫描器、入侵检测系统和设备,但军方防御人员并不完全具备黑客入侵的相关知识,黑客们出人意料的攻击也远远超出安防团队的想象。
国防数字服务部门总监布雷特·戈德斯坦认为,信息系统安全是一个持续的过程,不要指望一次测试就能发现所有后门漏洞,美军需要对信息系统安防不断进行重新评估。
美军网络中心战“防不胜防”
威尔·罗珀承认,对于美军战机系统被黑客轻易攻破的结果,他并不感到意外。数十年来,美国空军一直将时间、成本和效率列为优先事项,在武器装备研发上忽视网络安全控制。今天的危险局面正是这种采办惯性的必然结果。一方面,为美空军建造信息系统的公司掌握“后门”钥匙,不愿提供给空军用于测试。另一方面,美空军的传统信息系统落后于时代,即使是最好的技术人员也很难使它们更加安全。
此外,美军的复杂采办体制,让相关改革举步维艰。一位匿名网络安防专家告诉《环球时报》,信息安防是“道高一尺、魔高一丈”的动态对抗过程,随着信息系统软硬件的发展,再安全的系统也难免存在后门,没有绝对安全的信息系统。美军许多武器装备和国防服务大量外包给洛·马等大型军火公司,安防设计又被层层转包给小公司,美军对信息安全很难全程跟踪。F-15 飞行系统被黑客攻破只是问题的冰山一角。作为网络中心战核心的美军新一代战机 F-35,在 2017 年审查时也暴露出网络安全性问题,其已知漏洞没有得到彻底解决,迫使美军追加 2600 万美元让生产商洛·马公司“打补丁”,但这个“补丁”程序有没有漏洞、战时 F-35 会不会被黑、网络中心战会不会断网,美军恐怕心中也没有底。
来源:环球时报
更多资讯
谷歌:1.5% 的用户依然使用已泄露的凭证登录各种服务
Google 在今年 2 月发表了 Chrome 扩充程式 Password Checkup,可在使用者以遭骇凭证登入网站时跳出通知,本周Google 公布了该扩充程式上线一个月之后的成果,显示有 1.5% 的用户使用已外泄的凭证来登入各种网站。
来源:ithome
详情链接:https://www.dbsec.cn/blog/article/4925.html
卡巴斯基修复四年老漏洞 注入 HTML 源码的唯一标识符会泄露用户隐私
多年来,卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件,竟使得第三方能够长期监视用户的网络活动。德国网站 Heise.de 编辑 Ronald Eikenberg 指出,在其办公室电脑上的一个奇怪发现,让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/4926.html
Let's Encrypt 网站推出中文版
旨在让每个网站都能使用 HTTPS 加密的非营利性组织 Let's Encrypt 发布了简体中文版,方便中文用户使用 Let's Encrypt 签发的证书 。中文版主要是汉化了一下主页和文档,而文档实际上还没有完成翻译,感兴趣的志愿者可以通过 GitHub 帮助它翻译网站文档。
来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/4924.html
外媒:“有史以来最大规模”的数据泄露事件并不是那么糟糕
据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如,在2016年,有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/4928.html
(信息来源于网络,安华金和搜集整理)