Nul
Geen data-encryptie, geen antivirus programma ‘s, geen multifactor-authenticatie mechanismen, en de 28-jarige ongepatchte kwetsbaarheden zijn slechts enkele van de cyber-security tekortkomingen beschreven in een security audit van de AMERIKAANSE’ ballistic missile system uitgebracht op vrijdag door het AMERIKAANSE Ministerie van Defensie Inspecteur-Generaal (DOD IG).
Het rapport [PDF] werd samengesteld eerder dit jaar, in April, na DOD IG ambtenaren geïnspecteerd vijf willekeurige locaties waar het Missile Defense Agency (MDA) had geplaatst ballistische raketten deel van de Ballistic Missile Defense System (BMDS) –een DOD programma ontwikkeld om ONS te beschermen gebieden door de lancering van een ballistische raketten te onderscheppen van vijandelijke nucleaire raketten.
Afbeelding: DOD MDA
Maar deze recente security audit heeft geconcludeerd dat “het Leger, de Marine en de MDA niet het beschermen van de netwerken en systemen voor het verwerken, opslaan en verzenden BMDS technische informatie .”
Voor Multifactor-verificatie is niet consequent gebruikt
Accountants gevonden een aantal problematische gebieden. De grootste van deze was in verband met een multifactor-authenticatie.
Onder normale omstandigheden, geen nieuwe MDA werknemer zou ontvangen van een gebruikersnaam en wachtwoord die ze kunnen gebruiken om toegang te krijgen tot BMDS’ netwerk. Als nieuwe werknemers worden versoepeld in hun nieuwe baan, ze krijgen ook een common access card (ANB) dat ze zou moeten inschakelen voor hun accounts en gebruik samen met hun wachtwoord, als een tweede-factor authenticatie. De normale procedure zegt dat alle nieuwe MDA werknemers moeten gebruik maken van een multifactor-authenticatie binnen twee weken wordt gehuurd.
Maar de DOD IG rapport zegt dat op drie van de vijf geïnspecteerde locaties, hebben de onderzoekers gevonden dat veel gebruikers is het niet mogelijk voor multifactor-verificatie voor hun rekeningen, en waren nog steeds met behulp van hun gebruikersnaam en wachtwoord om toegang te krijgen tot BMDS’ netwerk.
Een gebruiker had geopend BMDS gegevens voor zeven jaar zonder de bescherming van hun kaart, en op een MDA site, de onderzoekers zeiden zij vonden ook dat het netwerk nooit werd geconfigureerd voor ondersteuning van de multifactor authenticatie.
Het ontbreken van een multifactor-verificatie betekent dat de werknemers zijn kwetsbaar voor phishing-aanvallen die het verzamelen van hun wachtwoorden en aanvallers in staat kan op afstand of op locatie toegang tot BMDS systemen zonder verdere beveiliging uitdagingen (tweede factor authenticatie).
Kwetsbaarheden werden niet consequent gepatchte
Echter, het rapport gevonden onrustbarender problemen. DOD IG inspecteurs vinden dat IT-beheerders op drie van de vijf locaties die ze bezocht had gefaald toepassen van security patches, waardoor computers en aangrenzende netwerk systemen kwetsbaar zijn voor externe of lokale aanvallen.
De onderzoekers vonden dat de systemen waren niet gepatchte kwetsbaarheden ontdekt en opgelost in 2016, 2013, en ging zelfs zover terug als in 1990.
De DOD IG rapport is zwaar geredigeerd in deze sectie, wat suggereert dat de MDA beheerders zijn nog patchen van deze gebreken.
Server racks niet beveiligd
Afgezien van de software gebreken, onderzoekers vonden ook de fysieke veiligheid. Bijvoorbeeld op twee locaties de onderzoekers vonden dat de server racks ontgrendeld en gemakkelijk toegankelijk.
Elke aanvaller, gasten of bezoekers die toegang of werd uitgenodigd om één van deze locaties kunnen gemakkelijk aangesloten op een kwaadaardige apparaat in een van deze server racks.
Geconfronteerd met de ontgrendelde rekken, één van de data center managers zei dat hij niet bewust van deze security-protocol, en speelde zelfs haar belang door te zeggen dat de basis beperkt die toegang konden krijgen tot het datacenter toch.
In de tweede plaats, de server rack was niet op slot, zelfs als het rack is voorzien van een bord met de melding dat de server deur moet blijven op slot.
Verwisselbare media-data is niet versleuteld
Een ander rapport bevinding was dat MDA ambtenaren niet consequent gebruik van encryptie bij het verplaatsen van gegevens tussen lucht-gapped systemen met behulp van verwisselbare media.
MDA ambtenaren de schuld van dit op “legacy systemen die niet beschikte over de mogelijkheden en de bandbreedte voor het coderen van gegevens, niet over de middelen om de aankoop van encryptie-software, en gebruikte encryptie software die niet altijd in lijn met DoD encryptie software.”
Dit probleem werd ontdekt op drie locaties. In één, ambtenaren zei dat ze niet eens van bewust dat ze werden verondersteld om gegevens te coderen die zijn opgeslagen op verwijderbare media, terwijl een andere ambtenaar zei dat ze niet eens de controles en systemen om te detecteren wanneer een medewerker het downloaden van gegevens naar verwisselbare media, laat staan zien als de data is niet versleuteld.
Geen intrusion detection-systeem
DOD IG ambtenaren ontdekten ook dat het op een MDA locatie, IT-beheerders mislukt de installatie van een intrusion detection en prevention system-ook bekend als een antivirus-of de veiligheid van het product.
“Zonder intrusion detection en prevention mogelijkheden, [BEWERKT] niet kan detecteren kwaadaardige pogingen om toegang te krijgen tot hun netwerken en het voorkomen van cyberaanvallen ontworpen om ongeautoriseerde toegang te verkrijgen en exfiltrate gevoelige BMDS technische informatie plaatsvindt,” aldus het rapport.
Lokale MDA ambtenaren op die locatie de schuld van het probleem in hun leidinggevenden, die, zeiden zij, niet goedkeuren van een aanvraag voor de juiste software, die ze gearchiveerd bijna een jaar eerder.
Afbeelding: DOD IG
Geen database met schriftelijke bewijsstukken
Maar naast de fysieke en cyber-security-gerelateerde problemen, er was ook een logistiek en management gerelateerde slip-up. Volgens het rapport, alle vijf locaties DOD IG ambtenaren bezocht, niet onderhouden van een database van een schriftelijke motivering van waarom kregen de medewerkers de toegang tot de BMDS netwerk.
Zonder deze database, de ambtenaren niet weten wat de exacte reden waarom medewerkers nodig de toegang tot het systeem, en kon het niet afdwingen van een “least privilege” toegang hiërarchie.
DOD IG onderzoekers zei dat in een willekeurige test, ze gekozen voor een kleine steekproef van werknemers van elke BMDS locatie en vroeg hun de toegang vormen. In alle gevallen, toegang rechtvaardiging vormen waren niet compleet, en in sommige beheerders niet kon voorzien in vormen voor sommige werknemers.
Jammerlijke fysieke beveiliging besturingselementen
Maar meer ontmoedigend was de bevindingen van het rapport inzake de fysieke beveiliging controles uitgevoerd bij een aantal van deze MDA basen.
Accountants zei dat in veel gevallen bewakingscamera ‘ s mislukt om de hele basis, waardoor er gaten dat een aanvaller om het grondwerk en gebouwen.
Verder waren er ook problemen met de deur sensoren die lieten zien dat er deuren gesloten waren ze toen nog niet, en met een aantal voorzieningen die niet vergrendeling deuren.
Laatste maar niet de minste, MDA personeel niet uitdaging accountants die gebouwen zonder de juiste badges, zodat onbevoegden om rond te dwalen door top secret gebouwen.
De MDA heeft momenteel 104 ballistische raketten locaties en plannen voor de bouw van nog eens 10. Maar als het niet verbeteren van zowel de fysieke en cyber-beveiliging, zijn deze grondslagen kan gemakkelijk worden aangevallen in het geval van een conflict. De DOD IG rapport een reeks aanbevelingen die top-ambtenaren en de rest van de MDA basen worden nu verondersteld om te beoordelen en uit te voeren.
In oktober, de US Government Accountability Office (GAO) heeft aangetoond dat de nieuwe next-gen geautomatiseerde wapens systemen die momenteel in ontwikkeling is bij het Pentagon ook aanbevolen soortgelijke cyber-security-gerelateerde problemen en waren gemakkelijk te hacken.
Meer cyber-security dekking:
Facebook bug blootgesteld eigen foto ‘ s van 6,8 miljoen gebruikersLogitech app lek toegestaan toetsaanslag injectie aanvallenSQLite bug effecten duizenden apps, inclusief alle Chroom-gebaseerde browsersBing raadt piraterij tutorial bij het zoeken naar Office-2019Shamoon malware vernietigt gegevens op het italiaanse olie-en gasbedrijf vanhet inschakelen van spam gesprek filteren op uw Android-telefoon TechRepublicNieuwe antiphishing-functies komen te Google-G Suite CNETDuizenden Jenkins servers zal laten anonieme gebruikers admins
Verwante Onderwerpen:
De overheid ONS
Beveiliging TV
Data Management
CXO
Datacenters
0