О новейшем оружии США
«Передовые системы вооружений, разработанные Министерством обороны США, изобилуют уязвимостями, которыми могут успешно воспользоваться даже неопытные хакеры. Таковы выводы Комиссии по аудиту при Конгрессе США, исследовавшей системы вооружений в период между июлем 2017 г. и октябрём 2018 г. Проверке подверглись системы вооружений, испытывавшиеся между 2012 и 2017 гг. Практически все они содержат критического плана уязвимости.
Комиссия по аудиту привлекла несколько команд пен-тестеров, задачей которых было проверить устойчивость систем вооружений к кибератакам. Результаты оказались удручающими. Хакерам в нескольких случаях удалось захватить контроль над системами или вывести их из строя, используя самые базовые и общедоступные инструменты и методики. Иногда простого сканирования оказывалось достаточно, чтобы часть целевых систем теряла работоспособность.
Контроль доступа в нескольких случаях также не выдерживал никакой критики: одной команде удалось угадать пароль администратора "за девять секунд" - по-видимому, в системе оставался заводской пароль.
В отчёте Комиссии указывается, что пен-тестерам удавалось сохранять своё присутствие в атакованной системе в течение нескольких дней. Иногда команды тестировщиков специально пытались привлечь внимание к своим действиям, однако системные администраторы так и не смогли обнаружить кибератаку.
Как оказалось, установленные системы обнаружения проникновений (IDS) были неправильно настроены, и даже если они выявляли незваных гостей, операторы системы не получали нужных уведомлений. И минимум один раз IDS-система выдавала постоянный сигнал тревоги, независимо от действий пользователя.
"Одна из команд смогла сымитировать атаку отказа в обслуживании, перезагружая систему, так, что она не могла выполнять свои задачи в течение некоторого времени. Операторы системы заявили, что они не подозревали о кибератаке, поскольку необъяснимые сбои были нормальным явлением для этой системы", - говорится в отчёте.
Несколько раз оказывалось, что операторы системы сознавали, что происходит кибератака, но не смогли выставить никакой адекватной защиты. Попытки противодействия хакеры без особого труда обходили.
Полный отчёт Комиссии Конгресса доступен по ссылке.»
Источник: cnews.ru
Комиссия по аудиту привлекла несколько команд пен-тестеров, задачей которых было проверить устойчивость систем вооружений к кибератакам. Результаты оказались удручающими. Хакерам в нескольких случаях удалось захватить контроль над системами или вывести их из строя, используя самые базовые и общедоступные инструменты и методики. Иногда простого сканирования оказывалось достаточно, чтобы часть целевых систем теряла работоспособность.
Контроль доступа в нескольких случаях также не выдерживал никакой критики: одной команде удалось угадать пароль администратора "за девять секунд" - по-видимому, в системе оставался заводской пароль.
В отчёте Комиссии указывается, что пен-тестерам удавалось сохранять своё присутствие в атакованной системе в течение нескольких дней. Иногда команды тестировщиков специально пытались привлечь внимание к своим действиям, однако системные администраторы так и не смогли обнаружить кибератаку.
Как оказалось, установленные системы обнаружения проникновений (IDS) были неправильно настроены, и даже если они выявляли незваных гостей, операторы системы не получали нужных уведомлений. И минимум один раз IDS-система выдавала постоянный сигнал тревоги, независимо от действий пользователя.
"Одна из команд смогла сымитировать атаку отказа в обслуживании, перезагружая систему, так, что она не могла выполнять свои задачи в течение некоторого времени. Операторы системы заявили, что они не подозревали о кибератаке, поскольку необъяснимые сбои были нормальным явлением для этой системы", - говорится в отчёте.
Несколько раз оказывалось, что операторы системы сознавали, что происходит кибератака, но не смогли выставить никакой адекватной защиты. Попытки противодействия хакеры без особого труда обходили.
Полный отчёт Комиссии Конгресса доступен по ссылке.»
Источник: cnews.ru