美国弹道导弹防御系统遍布安全漏洞

大范围的未修补漏洞只是国防部审计发现的部分问题。

根据美国国防部监察总署（Department of Defense Inspector General）的说法，在弹道导弹防御系统技术信息所在的设施的机密网络容易受到多种内部和外部网络攻击。

在上周发布的一份经过大量修改的报告中，美国国防部认为处理、存储和传输机密以及非机密的弹道导弹防御系统（BMDS）技术信息的网络遍布安全漏洞，包括缺乏基本的安全措施，例如安装杀毒软件。

“技术信息”是指军事或空间研究和工程数据、工程图纸、算法、规范、技术报告和源代码等国家敏感信息。

总而言之，国防部发现了许多安全问题，首先是网络管理员和数据中心管理员并不总是需要多因素身份验证才能访问BMDS的数据，而且数据在传输时也并不总是加密的。国防部还发现系统中存在着几个未修补的、已公开的安全漏洞，其中甚至有上世纪90年代的漏洞；而且还缺乏对存储在可移动存储介质中的的机密数据的实时监控；以及缺乏入侵检测和反病毒能力。

为了避免忘记所面临的危险，国防部在报告中指出，“随着来自对手的远程导弹攻击威胁不断增加，我们需要有效地采取系统安全措施，以减少攻击者偷取BMDS技术信息所能使用的漏洞数量。”

此外，该设施还存在不需要书面证明就能提升用户的访问权限的问题。报告指出：“依据任务需求限制用户所能访问到的BMDS技术信息是很重要的，这样可以减少国家机密信息有意或无意地泄露概率。”

为了全面了解所存在的安全问题，可能需要国防部公布更多的信息。目前这份报告仅仅包含104个设施中仅5个设施，美国国防部也承认这并非一个“统计样本”。

Tripwire安全研究与开发总监Lamar Bailey补充到，尽管调查结果令人担忧，但并不像看起来的那么糟糕，因为5个设施并不是每个都存在所有的安全问题。

“我认为，虽然乍一看这好像很可怕，但报告的关键词是‘连续性’，”他通过电子邮件表示。“只有一个安全问题在五个[被审计的网络]设施都存在，主要是访问权限问题。[不仅]这些漏洞不具备连续性，可能可以用于攻击“行政、设施、实验室等”，但它们可能不适用于攻击具有防卫/进攻控制的网络。”

原文链接：https://threatpost.com/ballistic-missile-security-holes/140019/