Конгресс США: Передовые американские системы вооружений взламываются «за девять секунд»

Безопасность Стратегия безопасности
мобильная версия
, Текст: Роман Георгиев
Аудит, проведённый специальной комиссией Конгресса США, показал, что новейшие системы оружия, разработанные и испытываемые Пентагоном, слабо защищены от хакерских атак, в том числе самых непритязательных.

Удручающие результаты

Передовые системы вооружений, разработанные Министерством обороны США, изобилуют уязвимостями, которыми могут успешно воспользоваться даже неопытные хакеры.

Таковы выводы Комиссии по аудиту при Конгрессе США, исследовавшей системы вооружений в период между июлем 2017 г. и октябрём 2018 г. Проверке подверглись системы вооружений, испытывавшиеся между 2012 и 2017 гг. Практически все они содержат критического плана уязвимости.

Комиссия по аудиту привлекла несколько команд пен-тестеров, задачей которых было проверить устойчивость систем вооружений к кибератакам. Результаты оказались удручающими. Хакерам в нескольких случаях удалось захватить контроль над системами или вывести их из строя, используя самые базовые и общедоступные инструменты и методики. Иногда простого сканирования оказывалось достаточно, чтобы часть целевых систем теряла работоспособность.

Контроль доступа в нескольких случаях также не выдерживал никакой критики: одной команде удалось угадать пароль администратора «за девять секунд» - по-видимому, в системе оставался заводской пароль.

predator600.jpg
Новейшие системы вооружений США, изобилуют уязвимостями, которыми могут успешно пользоваться даже неопытные хакеры

В отчёте Комиссии указывается, что пен-тестерам удавалось сохранять своё присутствие в атакованной системе в течение нескольких дней. Иногда команды тестировщиков специально пытались привлечь внимание к своим действиям, однако системные администраторы так и не смогли обнаружить кибератаку.

Как оказалось, установленные системы обнаружения проникновений (IDS) были неправильно настроены, и даже если они выявляли незваных гостей, операторы системы не получали нужных уведомлений. И минимум один раз IDS-система выдавала постоянный сигнал тревоги, независимо от действий пользователя.

«Одна из команд смогла сымитировать атаку отказа в обслуживании, перезагружая систему, так, что она не могла выполнять свои задачи в течение некоторого времени. Операторы системы заявили, что они не подозревали о кибератаке, поскольку необъяснимые сбои были нормальным явлением для этой системы», - говорится в отчёте.

Несколько раз оказывалось, что операторы системы сознавали, что происходит кибератака, но не смогли выставить никакой адекватной защиты. Попытки противодействия хакеры без особого труда обходили.

Полный отчёт Комиссии Конгресса доступен по ссылке.

Новые проблемы, старые причины

В то время как изначальной задачей пен-тестеров было только проверить системы на уязвимости, они пошли дальше и продемонстрировали, как легко можно копировать, модифицировать и удалять любые данные в тестируемых системах. Одной из групп удалось вывести 100 ГБ данных.

Общие выводы Комиссии неутешительны: Пентагон, несмотря на изменения в собственной политике относительно закупок и тестирования цифровых технологий, так и не вывел кибербезопасность в число первейших приоритетов при разработке интеллектуальных систем вооружения, и многие офицеры из числа тех, кому по роду занятий положено разбираться в вопросах ИБ, ориентируются в них до неприличного слабо.

А учитывая, что проверка Комиссии затронула лишь самые очевидные аспекты, ситуация с безопасностью «интеллектуальных» вооружений может быть ещё хуже, чем кажется на первый взгляд.

«Кибербезопасность вооружения - это вопрос колоссальных рисков отнюдь не только для его непосредственных операторов, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Достаточно представить себе перехват контроля над новейшими системами вооружений любой террористической группировкой, - а это отнюдь не фантастический сценарий, если выводы комиссии по аудиту справедливы. В целом исследование показывает, что разработчики передовых оружейных систем сталкиваются ровно с теми же проблемами, с которыми сталкиваются производители «умных» автомобилей, устройств «интернета вещей» и старых объектов критической инфраструктуры. И причины возникновения этих проблем всё те же - кибербезопасность при разработке не берётся в расчёт вовсе или рассматривается как второстепенный фактор».