Zero
Nessuna crittografia dei dati, senza programmi antivirus, senza meccanismi di autenticazione a più fattori, e il 28-year-old vulnerabilità senza patch sono solo alcuni dei cyber-sicurezza mancanze descritte in un controllo della sicurezza di NOI’ contro i missili balistici di sistema rilasciato venerdì dal Dipartimento della Difesa Ispettore Generale (DOD IG).
Il rapporto [PDF] è stato messo insieme quest’anno, nel mese di aprile, dopo DOD IG funzionari ispezionato cinque posizioni casuali in cui il Missile Defense Agency (MDA) aveva messo i missili balistici a parte il Ballistic Missile Defense System (BMDS) –un DOD programma sviluppato per proteggere i territori con il lancio di missili balistici per intercettare il nemico nucleare razzi.
Immagine: DOD MDA
Ma questa sicurezza di recente audit ha concluso che “l’Esercito, la Marina, e MDA non proteggere reti e sistemi che elaborano, memorizzano e trasmettono BMDS informazioni tecniche .”
L’autenticazione a più fattori non è stato costantemente utilizzato
Revisori trovato diverse aree problematiche. La più grande di queste è il rispetto per l’autenticazione a più fattori.
In circostanze normali, ogni nuova MDA dipendente riceverà un nome utente e una password da utilizzare per accedere BMDS’ di rete. Come i nuovi dipendenti sono facilitati nei loro nuovi posti di lavoro, si potrebbe anche ricevere un common access card (CAC), che avrebbero dovuto attivare per i loro conti e uso insieme con le loro password, come un secondo fattore di autenticazione. Procedura normale, dice che tutti i nuovi MDA i lavoratori devono utilizzare l’autenticazione a più fattori, entro due settimane di essere assunto.
Ma il DOD IG rapporto dice che in tre delle cinque ispezionare luoghi, gli investigatori hanno scoperto che molti utenti non attivare l’autenticazione a più fattori per i loro conti, e sono state ancora utilizzando il proprio nome utente e la password per accedere BMDS’ di rete.
Un utente ha avuto accesso BMDS dati per sette anni senza che la protezione fornita da loro carta, e ad un MDA sito, i ricercatori hanno detto hanno anche scoperto che la rete non è mai stato configurato per supportare l’autenticazione a più fattori.
La mancanza di una autenticazione a più fattori significa che i dipendenti sono vulnerabili agli attacchi di phishing che potrebbe raccogliere le loro password e consentire ad aggressori remoti o in sede di accesso al BMDS sistemi senza ulteriori sfide alla sicurezza (secondo fattore di autenticazione).
Le vulnerabilità non sono state costantemente patch
Tuttavia, la relazione ha rilevato ancora più preoccupante problemi. DOD IG gli ispettori hanno trovato che gli amministratori in tre delle cinque posizioni hanno visitato era impossibile applicare le patch di sicurezza, lasciando il computer e adiacente sistemi di rete vulnerabili da remoto o in locale attacchi.
Gli investigatori hanno scoperto che i sistemi non sono stati patch per le vulnerabilità di scoperto e risolto nel 2016, 2013, e anche andare indietro nel 1990.
Il DOD IG rapporto è fortemente censurato in questa particolare sezione, suggerendo che MDA gli amministratori sono ancora patch questi difetti.
Rack Server non protetto
A parte difetti software, gli investigatori hanno trovato anche fisici e problemi di sicurezza. Per esempio, in due sedi, gli investigatori hanno scoperto che il server rack sbloccato e facilmente accessibile.
Qualsiasi malintenzionato, ospite, o i visitatori che hanno avuto accesso o è stato invitato a una di queste posizioni può essere facilmente collegato a un dispositivo maligno in uno di questi server rack.
Di fronte con l’sbloccato rack, uno dei responsabili di data center, ha detto che lui non era a conoscenza di questo protocollo di sicurezza, e anche giocato giù la sua importanza, dicendo che la base limitata che potrebbe accedere al data center comunque.
In secondo luogo, il server rack è stato sbloccato anche se il rack in vetrina un cartello che indica che il server porta deve rimanere sempre bloccato.
Supporti rimovibili dati non crittografati
Un altro rapporto di ricerca è stato che MDA funzionari non sempre l’uso della crittografia per spostare i dati tra aria-gapped sistemi di utilizzo di supporti rimovibili.
MDA funzionari dà la colpa sui “sistemi legacy che mancava la capacità e la larghezza di banda per crittografare i dati, non ha le risorse per l’acquisto di software di crittografia, e utilizzato il software di crittografia che non sempre coincide con DoD software di crittografia.”
Questo problema è stato scoperto a tre posizioni. In uno, i funzionari hanno detto che non erano nemmeno a conoscenza che sono stati supposti per crittografare i dati memorizzati su supporti rimovibili, mentre un altro funzionario ha detto che non aveva nemmeno i controlli e sistemi in grado di rilevare quando un dipendente è di scaricare i dati su un supporto rimovibile, figuriamoci vedere se i dati non cifrati.
Nessun sistema di rilevamento delle intrusioni
DOD IG i funzionari inoltre scoperto che un MDA posizione, gli amministratori non sono riusciti ad installare un intrusion detection e prevention system, noto anche come un antivirus o di sicurezza del prodotto.
“Senza rilevamento e prevenzione delle intrusioni capacità, [REDATTO] non è in grado di rilevare tentativi dannosi per l’accesso a reti e prevenire gli attacchi informatici progettati per ottenere l’accesso non autorizzato e sottrarre sensibili BMDS informazioni tecniche si verifichi”, dice il rapporto.
Locale MDA funzionari, in quella posizione, ha accusato il problema sulla loro autorità di vigilanza, che, hanno detto, non è riuscita ad approvare una richiesta per il corretto software, che hanno presentato quasi un anno prima.
Immagine: DOD IG
Nessun database con scritto giustificazioni
Ma oltre ai problemi fisici e cyber-problemi legati alla sicurezza, c’era anche la logistica e la gestione dei relativi slip-up. Secondo il rapporto, tutte le cinque posizioni di DOD IG i funzionari hanno visitato non è riuscito a mantenere un database di scritti giustificazioni del perché i dipendenti hanno ricevuto l’accesso al BMDS rete.
Senza questo database, funzionari di non sapere il motivo esatto per cui i dipendenti necessità di accedere al sistema, e non poteva imporre un “minimo privilegio” di accesso gerarchia.
DOD IG i ricercatori hanno detto che in un test casuale, hanno selezionato un campione di dipendenti da ogni BMDS posizione e ha chiesto di vedere le loro forme di accesso. In tutti i casi, l’accesso giustificazione forme non erano completi, e in alcuni, gli amministratori non hanno potuto fornire i moduli per alcuni dipendenti.
Abuso fisico controlli di sicurezza
Ma più scoraggiante è stata la relazione sulla sicurezza fisica dei controlli posti in essere a molti di questi MDA basi.
Conti ha detto che, in molti casi, le telecamere di sorveglianza non riesce a coprire tutta la base, la creazione di lacune che un utente malintenzionato potrebbe sfruttare per immettere le basi e gli edifici.
Inoltre, ci sono stati anche problemi con i sensori di porta che ha mostrato porte chiuse, quando non erano, e con alcune strutture non bloccare le porte.
Ultimo ma non meno importante, MDA personale non sfida i revisori dei conti che è entrato edifici senza un adeguato distintivi, consentendo al personale non autorizzato passeggiare attraverso top secret edifici.
MDA ha attualmente 104 contro i missili balistici di percorsi e piani per la costruzione di un altro 10. Ma se non migliorare il suo fisico e la cyber-sicurezza, protezioni, queste basi potrebbe essere attaccato facilmente in caso di conflitto. Il DOD IG rapporto fatto una serie di raccomandazioni che alti funzionari, e il resto della MDA basi sono ora dovrebbe rivedere e implementare.
Nel mese di ottobre, la US Government Accountability Office (GAO) ha rilevato che il nuovo next-gen computerizzata dei sistemi di armi che sono attualmente in fase di sviluppo al Pentagono inoltre ha caratterizzato simili cyber-i problemi di sicurezza e sono facili da hackerare.
Più cyber-copertura di sicurezza:
Facebook bug esposto le foto private di 6,8 milioni di utenti diLogitech app falla di sicurezza ha permesso di battitura attacchiSQLite bug impatti migliaia di applicazioni, tra cui tutti Chromium-browser basato suBing consiglia di pirateria esercitazione durante la ricerca per l’Ufficio 2019Shamoon malware distrugge i dati italiani della compagnia petrolifera e del gasCome attivare spam filtro chiamate sul tuo telefono Android TechRepublicNuovo antiphishing funzionalità di Google G Suite CNETMigliaia di Jenkins server permetterà agli utenti anonimi di diventare admin
Argomenti Correlati:
Governo – NOI
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0