黑客花2天就成功入侵F-15戰(zhàn)機系統(tǒng) 美軍網絡安全漏洞百出
環(huán)球時報
2019-08-16 11:15:58
在美國軍方授權下���,7名經過嚴密審查的“白帽子”黑客大顯身手�,僅用兩天時間就成功入侵美空軍現(xiàn)役主力戰(zhàn)機F-15的關鍵飛行支持系統(tǒng)�����。
圖片來源:攝圖網
長期以來注重網絡攻擊能力的美軍�����,在“以己矛攻己盾”時終于暴露出美軍網絡安全防御其實“千瘡百孔”�。美國《星條旗報》14日披露稱,“白帽子”黑客輕易入侵美軍F-15戰(zhàn)機的關鍵系統(tǒng)���。該報道擔心���,隨著美軍裝備對網絡系統(tǒng)的依賴性越來越大,如果網絡安全性得不到改善�,“未來即便是那些造不出先進戰(zhàn)機的國家,只需要鍵盤入侵也能搞垮美軍戰(zhàn)機”��。
F-15關鍵系統(tǒng)“輕易遭黑”
報道稱�,在美國軍方授權下,7名經過嚴密審查的“白帽子”黑客大顯身手�����,僅用兩天時間就成功入侵美空軍現(xiàn)役主力戰(zhàn)機F-15的關鍵飛行支持系統(tǒng)��。據介紹�,當F-15處于飛行狀態(tài)時,該系統(tǒng)負責從機載攝像頭和傳感器收集飛行數據��。一旦這些后門漏洞被敵人掌握���,就可能關閉美軍重要的“可信賴飛機信息下載站”�����。
這些“白帽子”黑客全部來自五角大樓國防數字服務部門的外包商Synack網絡安全創(chuàng)業(yè)公司�,盡管這是他們首次獲得授權測試入侵F-15戰(zhàn)機實體系統(tǒng),但他們去年已在不接觸軍用設備的情況下�,入侵過類似的軍用信息系統(tǒng),事后美國空軍試圖“亡羊補牢”����,卻被證明是徒勞無功。
負責采購����、技術和后勤的美國空軍部長助理威爾·羅珀證實�����,美軍已改變過去的保守思維�,放寬“白帽子”黑客測試入侵、攻擊軍用敏感設備系統(tǒng)漏洞的限制�。他表示,“如果不允許本國最優(yōu)秀黑客搜索發(fā)現(xiàn)美軍飛機和武器系統(tǒng)的數字漏洞���,那么這些后門將被俄羅斯�、伊朗和朝鮮等潛在對手國家的頂級黑客率先掌握”。
威爾·羅珀表示�,美軍所有戰(zhàn)機都有數以百萬計的代碼行數,只要其中一行存在缺陷����,就有可能被對手入侵。即便是一個無法制造先進戰(zhàn)機的國家���,也能通過鍵盤入侵搞垮美軍戰(zhàn)機�。為此���,明年他將把這些黑客送到內利斯空軍基地和克里奇空軍基地�����,深入探測軍用飛機的每一個網絡安全漏洞�,搞清楚哪些后門會讓黑客得以控制其他系統(tǒng)�,乃至有效控制整架戰(zhàn)機。此外�����,他還計劃向“白帽子”黑客開放測試一個軍用衛(wèi)星地面控制系統(tǒng)。
信息安全漏洞“千瘡百孔”
美國聯(lián)邦新聞網14日證實�,美軍信息安全的后門漏洞,遠遠比想象中還要嚴重����。從今年3月到6月,美國空軍與五角大樓國防數字服務部門聯(lián)合推進“捉蟲賞金”計劃��,讓黑客幫助尋找美國空軍門戶網站的漏洞�����,并對發(fā)現(xiàn)漏洞者給予13萬美元獎勵���。在獎金的刺激下����,各路黑客先后發(fā)現(xiàn)了空軍云服務系統(tǒng)的54個漏洞��。
國防數字服務部門“破解美國空軍”項目組成員詹姆斯·托馬斯證實��,這次懸賞黑客比賽打開了五角大樓無法提供的另一個認知領域����,盡管美軍編設了專業(yè)的內部網絡防護團隊,開發(fā)安裝了網絡掃描器�����、入侵檢測系統(tǒng)和設備�,但軍方防御人員并不完全具備黑客入侵的相關知識,黑客們出人意料的攻擊也遠遠超出安防團隊的想象�����。
國防數字服務部門總監(jiān)布雷特·戈德斯坦認為�����,信息系統(tǒng)安全是一個持續(xù)的過程���,不要指望一次測試就能發(fā)現(xiàn)所有后門漏洞����,美軍需要對信息系統(tǒng)安防不斷進行重新評估�。
美軍網絡中心戰(zhàn)“防不勝防”
威爾·羅珀承認,對于美軍戰(zhàn)機系統(tǒng)被黑客輕易攻破的結果�����,他并不感到意外。數十年來��,美國空軍一直將時間�����、成本和效率列為優(yōu)先事項�,在武器裝備研發(fā)上忽視網絡安全控制。今天的危險局面正是這種采辦慣性的必然結果��。一方面��,為美空軍建造信息系統(tǒng)的公司掌握“后門”鑰匙�����,不愿提供給空軍用于測試�。另一方面,美空軍的傳統(tǒng)信息系統(tǒng)落后于時代�����,即使是最好的技術人員也很難使它們更加安全�。
此外,美軍的復雜采辦體制��,讓相關改革舉步維艱�����。一位匿名網絡安防專家告訴《環(huán)球時報》����,信息安防是“道高一尺、魔高一丈”的動態(tài)對抗過程�����,隨著信息系統(tǒng)軟硬件的發(fā)展����,再安全的系統(tǒng)也難免存在后門,沒有絕對安全的信息系統(tǒng)��。美軍許多武器裝備和國防服務大量外包給洛·馬等大型軍火公司���,安防設計又被層層轉包給小公司�����,美軍對信息安全很難全程跟蹤���。F-15飛行系統(tǒng)被黑客攻破只是問題的冰山一角���。作為網絡中心戰(zhàn)核心的美軍新一代戰(zhàn)機F-35,在2017年審查時也暴露出網絡安全性問題�����,其已知漏洞沒有得到徹底解決���,迫使美軍追加2600萬美元讓生產商洛·馬公司“打補丁”��,但這個“補丁”程序有沒有漏洞�����、戰(zhàn)時F-35會不會被黑�、網絡中心戰(zhàn)會不會斷網�����,美軍恐怕心中也沒有底���。
環(huán)球時報 石留風
