Noll
Ingen kryptering, inget antivirus program, inget multifactor mekanismer för autentisering, och 28-årig unpatched sårbarheter är bara några av de it-säkerheten brister som beskrivs i en säkerhetsgranskning av OSS ” – ballistic missile system släpptes på fredagen av US Department of Defense Inspector General (DOD IG).
Rapporten [PDF] var tillsammans tidigare i år, i April, efter DOD IG tjänstemän inspekteras fem slumpmässiga platser där Missile Defense Agency (MDA) hade placerat ballistiska missiler del av Ballistic Missile Defense System (BMDS) –en DOD program som utvecklats för att skydda OSS territorier genom att lansera ballistiska missiler för att fånga fiendens kärnkraft raketer.
Bild: DOD MDA
Men den här senaste säkerhetsanalys har kommit fram till att “Armén, Flottan, och MDA inte skydda nätverk och system för att bearbeta, lagra och överföra BMDS teknisk information .”
Multifactor autentisering var inte konsekvent använt
Revisorerna funnit flera problematiska områden. Den största av dessa var i förhållande till multifactor autentisering.
Under normala omständigheter, några nya MDA anställd skulle få ett användarnamn och lösenord som de kan använda för att komma åt BMDS nätverk. Som nya medarbetare underlättas i sitt nya jobb, de skulle också få en common access card (CERT) som de skulle ha för att göra det möjligt för sina konton och använda tillsammans med sitt lösenord, som en andra faktor autentisering. Normal förfarande som säger att alla nya MDA arbetstagare måste använda multifactor autentisering inom två veckor för att vara anställd.
Men DOD IG-rapporten säger att tre av de fem inspekterade platser, utredare fann att många användare inte gjorde det möjligt för multifactor autentisering för sina konton och fortfarande använder deras användarnamn och lösenord för att få tillgång BMDS nätverk.
En användare hade nås BMDS data för sju år utan det skydd som ges genom sina kort, och vid ett MDA plats, utredare sa att de fann också att nätverket var aldrig konfigureras för att stödja multifactor autentisering på alla.
Avsaknaden av en multifactor autentisering innebär att de anställda är utsatta för phishing attacker som kan samla sina lösenord och göra det möjligt för angripare fjärrkontrollen eller on-premise tillgång till BMDS system utan ytterligare säkerhet (andra autentiseringen faktor).
Sårbarheter inte var konsekvent lappat
Men i rapporten finns även mer oroande problem. DOD IG inspektörer fann att IT-administratörer på tre av de fem platserna de besökte hade misslyckats med att tillämpa säkerhetskorrigeringar, lämnar datorer och angränsande nät-system sårbara för att avlägsna eller lokala attacker.
Utredarna funnit att system inte var lappat för sårbarheter som upptäckts och åtgärdats i och med 2016, 2013, och till och med gå så långt tillbaka som 1990.
DOD IG rapport är starkt censurerat i just detta avsnitt, vilket tyder på att MDA administratörer är fortfarande lapp dessa brister.
Serverrack inte är säkrad
Bortsett från brister mjukvara, utredarna hittade också fysisk säkerhet frågor. Till exempel, på två platser utredare fann att serverrack olåst och lättillgängligt.
Eventuella angripare, gäst eller besökare som fick tillgång eller var inbjuden till en av dessa platser kunde lätt ha inkopplad i en skadlig enheten i en av dessa serverrack.
Konfronteras med den olåst rack, en av de data center chefer sa att han inte var medveten om detta säkerhetsprotokoll, och även spelade ner dess betydelse genom att säga att basen begränsad som skulle kunna få tillgång till data center ändå.
I det andra läget, serverrack var olåst även om rack innehöll en skylt om att servern måste dörren vara låst vid alla tillfällen.
Flyttbara media-data var inte krypterad
En annan rapport att hitta var som MDA tjänstemän inte konsekvent använd kryptering när du flyttar data mellan luft-gapped system med hjälp av flyttbara media.
MDA tjänstemän skyllde detta på “äldre system som saknade kapacitet och bandbredd för att kryptera data, inte har resurser att köpa kryptering programvara, och som används för kryptering programvara som inte alltid stämmer överens med DoD-kryptering programvara.”
Problemet upptäcktes på tre platser. På en, tjänstemän sade att de inte ens medvetna om att de var tänkt att kryptera data som lagras på flyttbara media, medan en annan tjänsteman sade att de inte ens har kontroller och system för att kunna upptäcka när en anställd var att ladda ner data till en flyttbar media, än mindre se om data okrypterad.
Ingen intrusion detection system
DOD IG tjänstemän upptäckte också att på ett MDA plats, IT-administratörer misslyckats med att installera ett inbrottslarm och prevention system-även känd som antivirus-eller security-produkt.
“Utan intrusion detection and prevention kapacitet, [CENSURERAT] kan upptäcka skadliga försök att komma åt sina nätverk och förhindra att it-angrepp för att erhålla obehörig åtkomst och exfiltrate känsliga BMDS teknisk information uppstår,” enligt rapporten.
Lokala MDA tjänstemän på platsen skyllde frågan på sin handledare, som de säger, misslyckats med att godkänna begäran om rätt programvara, som de lämnat in för nästan ett år innan.
Bild: DOD IG
Ingen databas med skriftliga motiveringar
Men förutom fysisk och it-säkerhetsrelaterade frågor, och det var också en logistik och management relaterade slip-up. Enligt rapporten, på alla fem platser DOD IG tjänstemän besökte misslyckats med att upprätthålla en databas med skriftliga motiveringar till varför de anställda fått tillgång till de BMDS nätverk.
Utan denna databas, tjänstemän inte vet den exakta orsaken till varför anställda som behövs för tillgång till systemet, och inte kunde upprätthålla en “least privilege” tillgång hierarki.
DOD IG utredare sade att i ett slumpmässigt test, de har valt ett litet urval av anställda från varje BMDS läge och bad att få se deras tillgång former. I alla fall, tillgång motivering former var inte komplett, och i vissa administratörer kunde inte tillhandahålla formulär för några anställda alls.
Bedrövad fysiska säkerhetskontroller
Men mer nedslående var rapporten om den fysiska säkerhetsåtgärder som genomförs på flera av dessa MDA baser.
Revisorer sade att det i många fall övervakningskameror misslyckades med att täcka hela bas, skapa luckor som en angripare kan utnyttja för att ange grunden och byggnader.
Vidare fanns det även problem med dörren sensorer som visade dörrar stängda, när de inte var det, och med några av faciliteterna som inte låsa dörrar.
Sist men inte minst, MDA personal inte utmana revisorer som tagit sig in byggnaderna utan ordentlig märken, vilket gör att obehörig personal att vandra runt genom top secret byggnader.
MDA har för närvarande 104 ballistiska missiler platser och planerar att bygga ytterligare 10. Men om det inte blir bättre både fysisk och it-säkerhet och skydd, dessa baser kan vara lätt angrips i händelse av en konflikt. DOD IG rapport gjort en uppsättning rekommendationer som högsta tjänstemän och resten av MDA baser är nu tänkt att granska och genomföra.
I oktober, US Government Accountability Office (GAO) fann att ny next-gen datoriserade vapensystem som för närvarande är under utveckling i Pentagon också med liknande it-säkerhetsrelaterade problem och var lätt att hacka.
Mer it-säkerhet täckning:
Facebook bugg exponeras privata bilder på 6,8 miljoner användareLogitech app säkerhetsbrist tillåtna tangenttryckning injektion attackerSQLite-bugg påverkan tusentals appar, inklusive alla Krom-baserade webbläsareBing rekommenderar piratkopiering handledning när du söker efter Kontor 2019Shamoon skadlig kod förstör data på italienska olje-och gasföretagetaktivera spam-samtal filtrering på din Android-telefon TechRepublicNya antiphishing har kommit till Google G Suite CNETTusentals Jenkins servrar kommer att låta anonyma användare bli admins
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0