Våbensystemerne, der udvikles af det amerikanske forsvarsdepartement, er sårbare over for cyberattacks, hvilket betyder, at nogle ondskabsfulde med hackingfærdigheder potentielt kunne tage kontrol over sådanne våben uden at blive bemærket, ifølge en ny rapport fra US Government Accountability Office (GAO), der blev frigivet oktober 9.
Og DOD virkede uvidende om truslerne: Selvom test udført af DOD selv har vist sådanne sårbarheder, fortalte afdelingens embedsmænd til GAO, at de "troede, at deres systemer var sikre og diskonterede nogle testresultater som urealistiske," ifølge rapporten, som er baseret på en analyse af DOD-cybersikkerhedstests, politikker og retningslinjer samt DOD-interviews.
"Ved hjælp af relativt enkle værktøjer og teknikker var testere i stand til at tage kontrol over systemer og i vid udstrækning fungere uopdagede, delvis på grund af grundlæggende problemer såsom dårlig adgangskodestyring og ikke-krypteret kommunikation," siger rapporten.
Faktisk knækkede et testteam en administrator's adgangskode på kun 9 sekunder. En DOD-embedsmand sagde, at adgangskodebrydningstiden ikke er et nyttigt mål for sikkerheden i et system, fordi en angriber kan bruge måneder eller år på at prøve at bryde ind i et system; med den tidslinje, uanset om det tager et par timer eller et par dage at gætte en adgangskode ikke er meningsfuld. GAO sagde imidlertid, at et sådant eksempel afslører, hvor let det er at gøre det på DOD. (Den kabelførte forfatter Emily Dreyfuss rapporterede om den 9-sekunders adgangskode-crack den 10. oktober.)
Analysen og rapporten blev anmodet om af Senats væbnede styrkerudvalg i påvente af den $ 1,66 billion, som DOD planlægger at bruge til at udvikle sin nuværende "portefølje" af store våbensystemer.
I stigende grad er våbensystemer afhængige af software for at udføre deres funktioner. Våbenene er også forbundet til internettet og andre våben, hvilket gør dem mere sofistikerede, ifølge GAO. Disse fremskridt gør dem også "mere sårbare overfor cyberangreb", sagde GAO.
Enhver del af et våbensystem, der er drevet af software, kan hackes. "Eksempler på funktioner aktiveret af software - og potentielt modtagelige for kompromis - inkluderer at tænde og slukke for et system, målrette et missil, opretholde en pilots iltniveauer og flyvende fly," siger GAO-rapporten.
Selvom DOD er begyndt at gøre forbedringer inden for cybersikkerhed i de sidste par år, sagde GAO, står det over for flere udfordringer, hvoraf den ene er manglen på informationsdeling på tværs af programmer. For eksempel, "hvis et våbensystem oplevede et cyberangreb, ville embedsmænd i DOD-programmet ikke fået specifikke detaljer om angrebet fra efterretningsfællesskabet på grund af typen af klassificering af disse oplysninger," siger rapporten.
Derudover har DOD svært ved at ansætte og fastholde cybersecurity-eksperter, siger rapporten.
Selvom GAO sagde, at den ikke har anbefalinger nu, mener agenturet, at sårbarhederne, der er opdaget i sin analyse, "repræsenterer en brøkdel af de samlede sårbarheder på grund af testbegrænsninger. For eksempel er ikke alle programmer testet, og testene afspejler ikke hele spektret af trusler."
Original artikel på Live videnskab.