Immagine: Lexmark
US Department of Defense (DoD), i dipendenti hanno comprato elettronica per un valore di oltre $32,8 milioni di euro nell’anno fiscale 2018 che sono noti per contenere le vulnerabilità di sicurezza, un rapporto del Pentagono di ispettore generale ha detto la settimana scorsa.
Queste acquisizioni sono state fatte da Esercito e Air Force dipendenti con carte di pagamento emessi dal governo per micro-acquisti al di sotto di $10.000.
Come risultato di questi acquisti, il DOD Ispettore Generale ritiene che l’Esercito e Air Force stanno introducendo vulnerabili attrezzature nelle loro reti che possono essere sfruttati da NOI avversari.
Il rapporto specificamente elencato Lexmark stampanti, videocamere GoPro, e computer Lenovo problematici prodotti, come esempi.
Lexmark acquisti
“L’esercito e Air Force GPC [acquisto da parte del governo card] titolari acquistato oltre 8.000 stampanti Lexmark, per un totale di più di $30 milioni, per l’uso dell’Esercito e Air Force reti”, il DOD Ispettore Generale (DODIG) rapporto ha detto.
Acquisto di stampanti Lexmark è stato un grosso errore, conti ha detto, citando una 2018 Congresso relazione sulla catena di fornitura vulnerabilità che metteva in guardia contro l’uso di dispositivi Lexmark, sostenendo che la società con sede in Cina, aveva collegamenti con il Cinese e militari, nucleari del paese, e cyberespionage programmi.
Inoltre, il DODIG ha anche sottolineato che le stampanti Lexmark sono stati influenzati da più di 20 vulnerabilità in passato”, tra cui l’archiviazione e la trasmissione di rete sensibili credenziali di accesso in testo normale e consentire l’esecuzione di codice dannoso sulla stampante.”
“Queste vulnerabilità può consentire ad aggressori remoti per l’utilizzo di un collegato Lexmark stampante per condurre cyberespionage o lanciare un attacco denial of service su DoD rete,” il DODIG ha detto.
La GoPro acquisti
Inoltre, l’Esercito e Air Force hanno anche comprato 117 GoPro action cameras del valore di quasi $98,000.
“Tuttavia, le telecamere hanno vulnerabilità che potrebbe consentire a un utente malintenzionato di accedere al memorizzato le credenziali di rete e flussi video,” revisori dei conti, ha detto.
“Da sfruttare queste vulnerabilità, dannoso attore potrebbe visualizzare il flusso video, avviare la registrazione o scattare foto senza la conoscenza dell’utente.”
Lenovo acquisti
Ma il più grande problema era con i computer Lenovo. Anche se non la più acquisti costosi, il DODIG ha evidenziato diversi problemi con l’acquisto di Lenovo attrezzi, come ad esempio i numerosi avvisi di sicurezza rilasciati dal governo degli stati UNITI contro l’uso di questi dispositivi.
Per esempio, nel 2006, il Dipartimento di Stato ha vietato l’uso di computer Lenovo in loro classificata reti dopo i rapporti che Lenovo computer sono stati costruiti con nascosto hardware o software utilizzati per cyberespionage.
Il DHS ha emesso un avviso simile nel 2015 su computer Lenovo contenente pre-installato spyware, insieme a varie vulnerabilità critiche.
Nel 2016, il Joint Chiefs of Staff Intelligence Directorate anche emesso avviso di Lenovo, avviso che il palmare Lenovo dispositivi potrebbero introdurre compromesso hardware in DoD catena di fornitura, la creazione di un cyberespionage rischio classificati e non classificati DoD reti.
Tuttavia, nonostante tutti questi avvertimenti, l’Esercito comprato 195 prodotti Lenovo nel 2018, per un totale di poco meno di $268,000, e l’Air Force acquistato un altro 1,378 prodotti Lenovo per 1,9 milioni di dollari.
DOD agenzie di ignorare gli avvisi precedenti
La relazione ha evidenziato che DOD agenzie hanno spesso ignorato precedente cyber-avvisi di sicurezza quando fare questi piccoli micro-acquisti.
Per esempio, il rapporto afferma che le stampanti Lexmark erano ancora disponibili per l’acquisto presso il Navy-Marine Corps Intranet CULLE [commercial-off-the-shelf] Catalogo e sono stati certificati per l’uso sulla rete della Marina di recente, nel febbraio 2019 — questo nonostante il governo di avvertimento contro l’uso di dispositivi da questo venditore.
Il DODIG report accusato questi problemi su DOD errori di gestione. Conti ha detto che il DOD non è riuscito a stabilire un reparto di sviluppare una strategia per la gestione dei rischi per la sicurezza cibernetica e che potrebbe mettere insieme un elenco dei prodotti omologati, che DOD staff si poteva consultare prima di effettuare acquisti.
Conti ha detto che il DOD provato a farlo in passato, vale a dire con l’Ufficio del sottosegretario della Difesa per la Ricerca e l’Ingegneria Comune Federato di Assicurazione di Centro-ma il DOD non è riuscito a concedere capacità operativa, il che significa che l’agenzia esisteva solo sulla carta.
Il DODIG report, dal titolo “Controllo del ministero della Difesa di Gestione della sicurezza informatica, Rischi per l’Acquisto da parte del Governo gli Acquisti con Carta di Commercial Off-the-Shelf Elementi” è una finestra, la più grande problema di protezione nazionale in questo momento-che è la catena di fornitura attacchi.
La Nazionale di Controspionaggio e il Centro di Sicurezza (NCSC), l’Ufficio del Direttore dell’Intelligence Nazionale, proclamato aprile 2019 Nazionale Filiera Integrità Mese, nel tentativo di ottenere le agenzie di stato e il settore privato a rivedere le loro catene di approvvigionamento, e prendere nota di attrezzature e di software sono stati acquisti da noto a NOI avversari, come la Cina.
All’inizio di questa settimana, due senatori degli stati UNITI hanno anche introdotto un bill bipartisan denominato la Produzione, gli Investimenti e i Controlli di Revisione per l’Hardware del Computer, Proprietà Intellettuale e di Alimentazione (MICROCHIP) Atto, nel tentativo di convincere il governo a varare una legge per la creazione di una agenzia di stato per la sperimentazione di sistemi hardware e software che va nella catena di fornitura dei militari americani e di altre agenzie federali.
Con le tensioni politiche con la Cina a un livello più alto, NOI, i funzionari del governo paura che un potenziale incidente tra i due paesi potrebbe avere effetti catastrofici su di NOI infrastruttura IT, che ora è pieno di Cinesi attrezzature.
Relative governo di copertura:
Cisco pagare $8,6 milioni di euro per la vendita di software vulnerabile a NOI governmentVoter record per l ‘ 80% del Cile popolazione sinistra esposto onlineToo molte persone hanno firmato in su per Equifax di cassa, in modo che sarà sempre meno di $125UK fatto le copie illegali e amministrate Schengen viaggiatori database
Il DHS avverte su CAN bus vulnerabilità in piccola aircraftMICROCHIPS Legge vuole garantire la US govt catena di approvvigionamento contro la Cinese sabotaggio
Come l’Estonia divenne una e-governo centrale TechRepublicSri Lanka blocchi di social media dopo mortali Pasqua esplosioni CNET
Argomenti Correlati:
Governo
CXO
Sicurezza
L’innovazione
Smart Cities