Κάποια από τα πιο προηγμένα οπλικά συστήματα των ΗΠΑ μπορούν να «χακαριστούν εύκολα», μέσω της χρήσης «βασικών εργαλείων», σύμφωνα με κυβερνητική μελέτη.
Όπως αναφέρει το BBC, το Government Accountability Office (GAO) διαπίστωσε «κρίσιμα» (mission critical) τρωτά, από άποψης κυβερνοεπιθέσεων, σημεία σε σχεδόν όλα τα οπλικά συστήματα που δοκιμάστηκαν μεταξύ του 2012 και του 2017. Σε αυτά περιλαμβάνεται το μαχητικό F-35, καθώς και πυραυλικά συστήματα.
Mέλη της Επιτροπής Ενόπλων Δυνάμεων της Γερουσίας εξέφρασαν προβληματισμούς σχετικά με το πόσο προστατευμένα είναι τα οπλικά συστήματα απέναντι σε κυβερνοεπιθέσεις.
Μεταξύ των κυρίων ευρημάτων της αναφοράς περιλαμβάνονται τα εξής:
Το Πεντάγωνο δεν άλλαξε τους default κωδικούς σε πολλά οπλικά συστήματα, ένας κωδικός που είχε αλλάξει «μαντεύτηκε» μέσα σε 9 δευτερόλεπτα.
Μία ομάδα που ορίστηκε από το GAO ήταν σε θέση να αποκτήσει εύκολα τον έλεγχο ενός οπλικού συστήματος και να παρακολουθεί σε πραγματικό χρόνο τις αντιδράσεις στην επίθεση των χάκερ.
Άλλη μια διμελής ομάδα χρειάστηκε μόλις μια ώρα για να αποκτήσει αρχική πρόσβαση σε ένα οπλικό σύστημα και μία ημέρα για να αποκτήσει τον πλήρη έλεγχο.
Πολλές από τις ομάδες δοκιμών ήταν σε θέση να αντιγράψουν, αλλάξουν ή διαγράψουν δεδομένα συστημάτων με μια ομάδα να «κατεβάζει» 100 GB πληροφοριών.
Το GAO πρόσθεσε ότι το Πεντάγωνο δε γνωρίζει την πλήρη έκταση των τρωτών σημείων των οπλικών συστημάτων του, καθώς, «για μια σειρά λόγων, τα τεστ ήταν περιορισμένα σε έκταση και πολυπλοκότητα». Παράλληλα, υπογράμμισε πως, για πολλά χρόνια, για την ακρίβεια μέχρι το 2014, το Πεντάγωνο «επικέντρωνε τις προσπάθειες κυβερνοασφαλείας στην προστασία δικτύων και παραδοσιακών συστημάτων ΙΤ... αντί για οπλικά συστήματα».
Όπως αναφέρει το Bloomberg, στο πλαίσιο της αναφοράς επισημαίνεται πως το ίδιο λογισμικό που μπορεί να μετατρέψει το F-35 σε έναν «ιπτάμενο υπολογιστή» ικανό να απορροφά και να διανέμει μεγάλες ποσότητες δεδομένων συνεπάγεται επίσης τρωτά σημεία που μπορούν να αχρηστεύσουν ένα σύστημα. «Υπήρχε μια γενική έλλειψη έμφασης στην κυβερνοασφάλεια κατά της διαδικασίες απόκτησης/ένταξης» σημειώνεται σχετικά στην αναφορά, που υποβλήθηκε στην επιτροπή της Γερουσίας. «Χρησιμοποιώντας σχετικά απλά εργαλεία και τεχνικές, οι testers ήταν σε θέση να πάρουν τον έλεγχο αυτών των συστημάτων και σε μεγάλο βαθμό να δρουν ανεντόπιστοι» τονίζεται στο report, ενώ συμπληρώνεται πως «σε κάποιες περιπτώσεις, οι διαχειριστές συστημάτων δε μπορούσαν να αντιδράσουν αποτελεσματικά».
Όπως αναφέρει το BBC, το Government Accountability Office (GAO) διαπίστωσε «κρίσιμα» (mission critical) τρωτά, από άποψης κυβερνοεπιθέσεων, σημεία σε σχεδόν όλα τα οπλικά συστήματα που δοκιμάστηκαν μεταξύ του 2012 και του 2017. Σε αυτά περιλαμβάνεται το μαχητικό F-35, καθώς και πυραυλικά συστήματα.
Mέλη της Επιτροπής Ενόπλων Δυνάμεων της Γερουσίας εξέφρασαν προβληματισμούς σχετικά με το πόσο προστατευμένα είναι τα οπλικά συστήματα απέναντι σε κυβερνοεπιθέσεις.
Μεταξύ των κυρίων ευρημάτων της αναφοράς περιλαμβάνονται τα εξής:
Το Πεντάγωνο δεν άλλαξε τους default κωδικούς σε πολλά οπλικά συστήματα, ένας κωδικός που είχε αλλάξει «μαντεύτηκε» μέσα σε 9 δευτερόλεπτα.
Μία ομάδα που ορίστηκε από το GAO ήταν σε θέση να αποκτήσει εύκολα τον έλεγχο ενός οπλικού συστήματος και να παρακολουθεί σε πραγματικό χρόνο τις αντιδράσεις στην επίθεση των χάκερ.
Άλλη μια διμελής ομάδα χρειάστηκε μόλις μια ώρα για να αποκτήσει αρχική πρόσβαση σε ένα οπλικό σύστημα και μία ημέρα για να αποκτήσει τον πλήρη έλεγχο.
Πολλές από τις ομάδες δοκιμών ήταν σε θέση να αντιγράψουν, αλλάξουν ή διαγράψουν δεδομένα συστημάτων με μια ομάδα να «κατεβάζει» 100 GB πληροφοριών.
Το GAO πρόσθεσε ότι το Πεντάγωνο δε γνωρίζει την πλήρη έκταση των τρωτών σημείων των οπλικών συστημάτων του, καθώς, «για μια σειρά λόγων, τα τεστ ήταν περιορισμένα σε έκταση και πολυπλοκότητα». Παράλληλα, υπογράμμισε πως, για πολλά χρόνια, για την ακρίβεια μέχρι το 2014, το Πεντάγωνο «επικέντρωνε τις προσπάθειες κυβερνοασφαλείας στην προστασία δικτύων και παραδοσιακών συστημάτων ΙΤ... αντί για οπλικά συστήματα».
Όπως αναφέρει το Bloomberg, στο πλαίσιο της αναφοράς επισημαίνεται πως το ίδιο λογισμικό που μπορεί να μετατρέψει το F-35 σε έναν «ιπτάμενο υπολογιστή» ικανό να απορροφά και να διανέμει μεγάλες ποσότητες δεδομένων συνεπάγεται επίσης τρωτά σημεία που μπορούν να αχρηστεύσουν ένα σύστημα. «Υπήρχε μια γενική έλλειψη έμφασης στην κυβερνοασφάλεια κατά της διαδικασίες απόκτησης/ένταξης» σημειώνεται σχετικά στην αναφορά, που υποβλήθηκε στην επιτροπή της Γερουσίας. «Χρησιμοποιώντας σχετικά απλά εργαλεία και τεχνικές, οι testers ήταν σε θέση να πάρουν τον έλεγχο αυτών των συστημάτων και σε μεγάλο βαθμό να δρουν ανεντόπιστοι» τονίζεται στο report, ενώ συμπληρώνεται πως «σε κάποιες περιπτώσεις, οι διαχειριστές συστημάτων δε μπορούσαν να αντιδράσουν αποτελεσματικά».
