Dziurawy system przeciwatomowy
Ujawniony właśnie kwietniowy raport Inspektora Generalnego Departamentu Obrony wykazał, że amerykański System Ochrony Rakietami Balistycznymi (BMDS) jest pełen dziur. Okazało się, że dane przekazywane przez system nie są szyfrowane, nie zainstalowano żadnego oprogramowania antywirusowego, brak jest wielostopniowych systemów uwierzytelniających, znaleziono za to dziury liczące sobie... 28 lat.
Raport powstał na podstawie audytu w pięciu przypadkowo wybranych miejscach, w których Missile Defense Agency (MDA) umieściła części wspomnianego systemu. BMDS ma za zadanie bronić terytorium USA przed atakiem atomowym. Z opublikowanego właśnie raportu dowiadujemy się, że Armia, Marynarka Wojenna i MDA nie chronią sieci i systemów, które przetwarzają, przechowują i przesyłają informacje techniczne BMDS.
Osoby prowadzące audyt znalazły kilka problemów, a największy z nich był związany z uwierzytelnianiem się. Przepisy mówią, że każdy nowo zatrudniony pracownik MDA otrzymuje nazwę użytkownik i hasło dające mu dostęp do sieci BMDS. Dodatkowo dostaje też kartę dostępu, którą powinien aktywować i używać równolegle z nazwą użytkownika i hasłem jako drugi stopień uwierzytelniania. Procedury mówią, że wszyscy nowi pracownicy MDA muszą korzystać z wielostopniowego uwierzytelniania najpóźniej w ciągu dwóch tygodni od podjęcia pracy. Inspektorzy odkryli jednak, że w 3 na 5 badanych instalacji pracownicy nie używali dwustopniowego uwierzytelniania. Posługiwali się wyłącznie hasłami. Jeden z pracowników robił tak od... 7 lat, a w jednej z instalacji sieć nigdy nie została skonfigurowana pod kątem dwustopniowego uwierzytelniania.
Okazało się również, że w 3 zbadanych instalacjach administratorzy systemu nie aktualizowali oprogramowania. Znaleziono w nim dziury, dla których łaty istnieją od 2013 roku, a nawet dziury z roku 1990.
Innym problemem był brak fizycznych zabezpieczeń. W dwóch instalacjach szafy z serwerami nie były zamknięte i łatwo było uzyskać do nich dostęp. Zatem gość, osoba odwiedzająca czy w końcu szpieg umieszczony przez wrogi kraj, mógł z łatwością podpiąć do serwera urządzenie ze złośliwym oprogramowanie. Gdy jednej z osób odpowiedzialnych za bezpieczeństwo zwrócono uwagę na otwarte szafy serwerów, ta odpowiedziała, że nie wiedziała, iż należy je zamykać, a poza tym do serwerowni i tak jest ograniczony dostęp. W innej bazie szafa nie była zamykana, pomimo tego, iż miała zainstalowany mechanizm ciągle informujący, że należy ją zamknąć.
Kolejnym problemem był brak szyfrowania danych na urządzeniach przenośnych. Pomiędzy bezpiecznymi sieciami, które nie są ze sobą w żaden sposób połączone, dane są przenoszone ręcznie na fizycznych nośnikach. Okazało się, że w trzech lokalizacjach nie były one szyfrowane. Odpowiedzialni za bezpieczeństwo stwierdzili, że to wina systemu, który nie ma ani możliwości ani odpowiednich zasobów, by szyfrować dane, oni nie dostali pieniędzy na systemy szyfrowania danych i używają oprogramowania, które nie zawsze spełnia wymagania Pentagonu. W jednej z baz osoby odpowiedzialne za bezpieczeństwo przyznały, że nie wiedziały, iż takie dane należy szyfrować, w innej stwierdziły, że nie mają nawet oprogramowania, które informowałoby o tym, że pracownik kopiuje jakieś dane, nie mówiąc o tym, że wymagałoby ono szyfrowania.
W jednej z baz nie było ponadto oprogramowania monitorującego sieć pod kątem ewentualnych ataków z zewnątrz.
Menedżerowie odpowiedzialni za bezpieczeństwo tłumaczyli, że winni niedociągnięć są ich przełożeni, którzy – mimo złożonych wniosków – nie przyznali pieniędzy na odpowiedni sprzęt i oprogramowanie.
Komentarze (8)
Sławko, 17 grudnia 2018, 13:37
"winni niedociągnięć są ich przełożeni, którzy – mimo złożonych wniosków – nie przyznali pieniędzy na odpowiedni sprzęt i oprogramowanie."
I to jest to, z czym i ja najczęściej się spotykam. Bo przełożeni często nie mają pojęcia o informatyce, lekceważą wnioski i wydaje im się, że informatycy wymyślają niepotrzebne wydatki. A jak przychodzi co do czego, to konsekwencje nie ponoszą oni, tylko informatycy.
Ksen, 17 grudnia 2018, 17:05
Chyba nie całkiem.
Okazało się również, że w 3 zbadanych instalacjach administratorzy systemu nie aktualizowali oprogramowania. Znaleziono w nim dziury, dla których łaty istnieją od 2013 roku, a nawet dziury z roku 1990. Jedyna wina przełożonych polega tutaj na tym, że niedostatecznie mocno trzymali informatyków za twarz!
W innej bazie szafa nie była zamykana, pomimo tego, iż miała zainstalowany mechanizm ciągle informujący, że należy ją zamknąć. Niby przez kogo nie była zamykana, jeśli nie przez olewających bezpieczeństwo informatyków?
thikim, 17 grudnia 2018, 22:23
Normalne
Na kwitach łatwo się tworzy supersystemy. Tylko że nie zawsze są środki aby coś zrobić. Nie zawsze jest czas.
Zawsze jakoś to jest
radar, 18 grudnia 2018, 22:41
Pewnie, w przypadku sklepu internetowego, niewielkiego, nieistotnego systemu w przemyśle czy bankowości (może...), ale mówimy o Systemie Ochrony (przed?) Rakietami Balistycznymi największego supermocarstwa. Hmmm...
thikim, 19 grudnia 2018, 09:53
Hmm.
Nie rozumiesz.
Właśnie dlatego że mówimy o " Systemie Ochrony ..." to:
Zawsze jakoś to jest.
Ty uważasz to za argument przeciw, a ja za argument za.
Rzeczywistość rozstrzyga kto ma rację
To życzenia (niekoniecznie pobożne) a nie rzeczywistość.
Gdyby to dotyczyło:
"sklepu internetowego" to byłaby istotna sprawa. Sklep źle zarządzany by padł.
A w przypadku państw w zasadzie niewiele rzeczy jest istotne, bo państwo nie tak łatwo zniszczyć.
Socjaliści niszczą dziesiątki państw od dziesiątek lat i poza spektakularnym upadkiem ZSRR to w zasadzie nigdzie im się nie powiodło. Przy czym ZSRR nie tak do końca upadło bo w zasadzie był to nie upadek ale częściowy rozpad połączony ze zmianą nazwy.
Więc jak socjaliści - którzy potrafią sprawić przysłowiowo żeby na pustyni piasek kosztował i był na kartki - nie dają rady to naprawdę mało co da radę zniszczyć państwo.
A na pewno nie parę tysięcy dziur w oprogramowaniu. To są problemy na poziomie administratorów i informatyków, czyli na niskim poziomie.
Warai Otoko, 19 grudnia 2018, 10:57
Nie sądze
Są takie sklepy/firmy, które nie padną pomimo znacznych zaniedbań, złego zarządzania, kierownika idioty etc. To jest idealizacja kapitalisty. Polega to na fałszywym wrażeniu, że im ktoś bogatszy, im większą firmą zarządza, im dłużej nią zarządza etc. tym inteligentniejszy lub mądrzejszy ;P "Firma działa 20 lat? Szef musi mieć łeb na karku! ". W pewnych warunkach nie musi.
thikim, 19 grudnia 2018, 12:41
Tak, ale piszesz o dużym. Z tym zgoda.
A my pisaliśmy o niewielkim.
Duże firmy są podobne do państwa w sposobie zarządzania.
radar, 20 grudnia 2018, 21:05
No, akurat właśnie mówimy tu o rzeczy, która niedopilnowana może (pośrednio) zniszczyć Państwo. Jeśli agresywny przeciwnik znalazłby lukę w systemie, która umożliwiłaby atak bez odpowiedzi wtedy tak, kilkadziesiąt/set głowic może z powodzeniem zniszczyć to Państwo, prawda?
Masz rację, że tak jest i ja nie pisałem, że tak nie jest, widać to w badaniu, dziwi mnie to tylko. Może na poziomie jakiegoś admina "jakoś to jest", ale 2, 3 czy 4 poziomy wyżej... Moim zdaniem to nie "jakoś to jest" jest winne, a malowanie trawy na zielono niezależnie od ustroju. Widać to nawet w prywatnych przedsiębiorstwach/korporacjach. "Sukces" musi być.
Takie skecze nie biorą się z niczego