|
此文是2017年 cyberscoop上发的一篇旧闻,与今天的第一篇形成参考。 国防部的科学顾问说,美军的大多数武器系统在研发时都没有进行安全保护以防范硬件组件遭受网络攻击,有证据表明,一些武器系统已经被安装了数字后门,这意味着敌人可以在真正的战争中使其失效。 可信代工厂不可行 2017年国防科学委员会发布名为《加强国防部武器系统用微电子的供应链管理》报告,其中公布了网络供应链特别工作组的研究结果,认为尽管存在风险,但建设和维护国防部拥有的“可信代工厂”以制造国防部所需的微芯片,在投入成本上“并不可行”。(我们此前对该报告作了全文翻译,详见公众号菜单栏的专题报告-译品目录,也欢迎与我们联系。) 后门危害将持续多年 工作组严正警告说,目前的武器系统可能已经被植入后门,意味着它们在射击战争中毫无用处--甚至更糟。报告补充说,“特别令人关切的是我国国家今天所依赖的武器,几乎所有的武器都是在没有正式保护计划的情况下开发、获得和投入使用的,无法防范被插入恶意器件。 报告指出:“由于系统配置通常会在很长一段时间内保持不变”,因此,那些故意制造漏洞的微电子器件,或者是被对手发现漏洞的微电子元件,会使得系统在多年的时间里仍然很脆弱。利用此类漏洞的攻击“特别凶险,因为很难与电气或机械故障进行区分”。网络供应链漏洞可能会在系统的整个生命周期中被插入或发现”----即从设计、制造和部署到维护(所部署武器系统的日常维护和修理)阶段的任一阶段。 停产断档问题严峻 报告警告说:“工作组观察到了通过恶意插入对关键武器系统进行不成功攻击的事例。很难知道这种活动是否广泛存在,但供应链伪冒电子元器件的存在表明了这种攻击的可能性。如果操作得当,恶意插入“在启动之前不会被检测到,而且在最终被观察到时可能体现为现设计缺陷。” 由于军事系统的设计和制造通常需要很长时间,而且由于微电子市场发展迅速,平均70%的武器系统使用的器件在武器系统部署时已经停产,因此很难从原始制造商那里获得备件。 报告中提到了经销商的灰色市场:“这可能会迫使[国防部]从血统不那么安全、出处更难追踪的经销商那里购买。此外,一个系统在作战使用相同的微电子部件和嵌入式软件的时间越长,对手就越有可能获得系统信息,并插入或发现漏洞。恶意插入和发现可利用的潜伏漏洞都是采购和维持供应链中的问题。” 安全保护方案有效性存疑 目前正在开发的武器系统应该将供应链威胁纳入保护它们的安全方案中,但“保护方案的质量和重点参差不齐”--有些人关注的是保护人员或系统安全,而不是网络漏洞。即使在包括网络威胁的情况下,作者也指出“安全和信息系统管理者主要是在系统设计完成后才解决安全问题”--这与安全最佳实践相反。 此外,尽管武器系统一旦部署,威胁实际上会成倍增加,但保护计划活动在采购阶段后就会逐渐减少。报告说:“几乎没有证据表明,在系统投入使用后,强有力的项目保护仍在继续,或者随着系统在维持期间的不断发展”。 |
|
|
