【文匯網訊】據環球時報報道,長期以來注重網絡攻擊能力的美軍,在「以己矛攻己盾」時終於暴露出美軍網絡安全防禦其實「千瘡百孔」。美國《星條旗報》14日披露稱,「白帽子」黑客輕易入侵美軍F-15戰機的關鍵系統。該報道擔心,隨著美軍裝備對網絡系統的依賴性越來越大,如果網絡安全性得不到改善,「未來即便是那些造不出先進戰機的國家,只需要鍵盤入侵也能搞垮美軍戰機」。
F-15關鍵系統「輕易遭黑」
報道稱,在美國軍方授權下,7名經過嚴密審查的「白帽子」黑客大顯身手,僅用兩天時間就成功入侵美空軍現役主力戰機F-15的關鍵飛行支持系統。據介紹,當F-15處於飛行狀態時,該系統負責從機載攝像頭和傳感器收集飛行數據。一旦這些後門漏洞被敵人掌握,就可能關閉美軍重要的「可信賴飛機信息下載站」。
這些「白帽子」黑客全部來自五角大樓國防數字服務部門的外包商Synack網絡安全創業公司,儘管這是他們首次獲得授權測試入侵F-15戰機實體系統,但他們去年已在不接觸軍用設備的情況下,入侵過類似的軍用信息系統,事後美國空軍試圖「亡羊補牢」,卻被證明是徒勞無功。
負責採購、技術和後勤的美國空軍部長助理威爾·羅珀證實,美軍已改變過去的保守思維,放寬「白帽子」黑客測試入侵、攻擊軍用敏感設備系統漏洞的限制。他表示,「如果不允許本國最優秀黑客搜索發現美軍飛機和武器系統的數字漏洞,那麼這些後門將被俄羅斯、伊朗和朝鮮等潛在對手國家的頂級黑客率先掌握」。
威爾·羅珀表示,美軍所有戰機都有數以百萬計的代碼行數,只要其中一行存在缺陷,就有可能被對手入侵。即便是一個無法製造先進戰機的國家,也能通過鍵盤入侵搞垮美軍戰機。為此,明年他將把這些黑客送到內利斯空軍基地和克裡奇空軍基地,深入探測軍用飛機的每一個網絡安全漏洞,搞清楚哪些後門會讓黑客得以控制其他系統,乃至有效控制整架戰機。此外,他還計劃向「白帽子」黑客開放測試一個軍用衛星地面控制系統。
信息安全漏洞「千瘡百孔」
美國聯邦新聞網14日證實,美軍信息安全的後門漏洞,遠遠比想像中還要嚴重。從今年3月到6月,美國空軍與五角大樓國防數字服務部門聯合推進「捉蟲賞金」計劃,讓黑客幫助尋找美國空軍門戶網站的漏洞,並對發現漏洞者給予13萬美元獎勵。在獎金的刺激下,各路黑客先後發現了空軍雲服務系統的54個漏洞。
國防數字服務部門「破解美國空軍」項目組成員詹姆斯·托馬斯證實,這次懸賞黑客比賽打開了五角大樓無法提供的另一個認知領域,儘管美軍編設了專業的內部網絡防護團隊,開發安裝了網絡掃瞄器、入侵檢測系統和設備,但軍方防禦人員並不完全具備黑客入侵的相關知識,黑客們出人意料的攻擊也遠遠超出安防團隊的想像。
國防數字服務部門總監佈雷特·戈德斯坦認為,信息系統安全是一個持續的過程,不要指望一次測試就能發現所有後門漏洞,美軍需要對信息系統安防不斷進行重新評估。
美軍網絡中心戰「防不勝防」
威爾·羅珀承認,對於美軍戰機系統被黑客輕易攻破的結果,他並不感到意外。數十年來,美國空軍一直將時間、成本和效率列為優先事項,在武器裝備研發上忽視網絡安全控制。今天的危險局面正是這種採辦慣性的必然結果。一方面,為美空軍建造信息系統的公司掌握「後門」鑰匙,不願提供給空軍用於測試。另一方面,美空軍的傳統信息系統落後於時代,即使是最好的技術人員也很難使它們更加安全。
此外,美軍的複雜採辦體制,讓相關改革舉步維艱。一位匿名網絡安防專家告訴《環球時報》,信息安防是「道高一尺、魔高一丈」的動態對抗過程,隨著信息系統軟硬件的發展,再安全的系統也難免存在後門,沒有絕對安全的信息系統。美軍許多武器裝備和國防服務大量外包給洛·馬等大型軍火公司,安防設計又被層層轉包給小公司,美軍對信息安全很難全程跟蹤。F-15飛行系統被黑客攻破只是問題的冰山一角。作為網絡中心戰核心的美軍新一代戰機F-35,在2017年審查時也暴露出網絡安全性問題,其已知漏洞沒有得到徹底解決,迫使美軍追加2600萬美元讓生產商洛·馬公司「打補丁」,但這個「補丁」程序有沒有漏洞、戰時F-35會不會被黑、網絡中心戰會不會斷網,美軍恐怕心中也沒有底。
責任編輯:陳西