电影很丰满现实很骨感:美国导弹系统补丁都不带安装的
上周美国国防部发布报告称美国弹道导弹防御系统安全问题太多,本身这类系统应该保持足够强的安全环境。
美国弹道导弹防御系统也由多台计算机以及软件进行控制,因此说不好哪天整个系统会被外部的攻击者黑掉。
虽然这些问题与普通用户无关不过报告中提到的安全问题还是值得注意的,以下是蓝点网节选的少部分内容:
还未支持多因素认证(即两步验证):
审计报告称弹道导弹防御系统设施存在诸多安全漏洞,例如非常典型的问题就是部分子系统不支持两步验证。
两步验证主要通过动态验证码在用户提供账号和密码的情况下进行额外验证,防止因账号密码泄露导致问题。
美国弹道导弹防御系统的部分设施允许通过账号和密码存在14天, 到期后账号和密码自动过期无法继续登录。
然而多数基础设施既没有没配置自动过期策略也不支持两步验证,也就是某账号被创建后就可以一直用下去。
这意味着如果账号保管者不慎遭到钓鱼等其他攻击将账号密码泄露,那么攻击者就可以直接用账号进行登录。
2013年的漏洞在2018年仍然处于评估中:
多数重大基础设施通常对于各种漏洞修复补丁都会进行评估,防止因安装补丁后带来新问题或造成潜在问题。
美国国防部安全审计显示美国弹道导弹防御系统部分设施 2013 年漏洞都还没有修复,补丁仍然处于评估中。
即便在美国国防部在2018年进行审计时扫描到这些漏洞,但截止在2018年4月这些漏洞还是没有被彻底修复。
还要对数据进行加密?不好意思没听过
虽然电影里牵涉到这类比较厉害的基础设施时,都会显得特别高大上例如各种加密和解密以便保护数据安全。
然鹅实际上审计显示美国弹道导弹防御系统设施里压根不会对存储在可移动设备上的任何数据进行安全加密。
也不会记录任何数据复制历史方便后续的排查,这意味着只要能进去插个优盘就可以直接拷贝数据不被发现。
同时如果已经拷贝数据的优盘不慎丢失那么捡到的人也可以直接读取数据,有设施表示他们不知道要用加密。
进入机密设施要刷脸验证?其实门都没上锁
除计算机和软件层面的问题外审计还发现很多物理层面的问题,例如有不少服务器机架都没有加锁进行保护。
在安全系统里还提到某个安全设施的门四年前就被关闭,但实际上四年来这扇门就是开着的而且也没有加锁。
这意味着你只要拉开这扇门走进去那么你就成功获得未经授权的访问,甚至门口摄像头都没对准你进行监控。
结束语:
正如本文开头所提的虽然美国弹道导弹防御系统与普通用户无关,但是存在的问题很多与普通用户做法类似。
不论是两步验证还是安全漏洞的修补都对普通用户来说同样重要,比如这两天驱动人生蠕虫就利用漏洞传播。
而之前台积电的产线被感染勒索软件被迫停线损失高达17亿, 同样也是没有修复永恒之蓝漏洞而被感染病毒。
同样的优盘数据加密其实也是个非常好的习惯, 尤其你准备随身携带重要数据时不要忘记开启Bitlocker加密。
最后拉开门就获得未经授权访问对于某些工厂来说是普遍的问题,安全无小事切记不要等出问题才知道修复。