[环球时报报道 特约记者 石留风]长期以来注重网络攻击能力的美军,在“以己矛攻己盾”时终于暴露出美军网络安全防御其实“千疮百孔”。美国《星条旗报》14日披露称,“白帽子”黑客轻易入侵美军F-15战机的关键系统。该报道担心,随着美军装备对网络系统的依赖性越来越大,如果网络安全性得不到改善,“未来即便是那些造不出先进战机的国家,只需要键盘入侵也能搞垮美军战机”。
F-15关键系统“轻易遭黑”
报道称,在美国军方授权下,7名经过严密审查的“白帽子”黑客大显身手,仅用两天时间就成功入侵美空军现役主力战机F-15的关键飞行支持系统。据介绍,当F-15处于飞行状态时,该系统负责从机载摄像头和传感器收集飞行数据。一旦这些后门漏洞被敌人掌握,就可能关闭美军重要的“可信赖飞机信息下载站”。
这些“白帽子”黑客全部来自五角大楼国防数字服务部门的外包商Synack网络安全创业公司,尽管这是他们首次获得授权测试入侵F-15战机实体系统,但他们去年已在不接触军用设备的情况下,入侵过类似的军用信息系统,事后美国空军试图“亡羊补牢”,却被证明是徒劳无功。
负责采购、技术和后勤的美国空军部长助理威尔·罗珀证实,美军已改变过去的保守思维,放宽“白帽子”黑客测试入侵、攻击军用敏感设备系统漏洞的限制。他表示,“如果不允许本国最优秀黑客搜索发现美军飞机和武器系统的数字漏洞,那么这些后门将被俄罗斯、伊朗和朝鲜等潜在对手国家的顶级黑客率先掌握”。
威尔·罗珀表示,美军所有战机都有数以百万计的代码行数,只要其中一行存在缺陷,就有可能被对手入侵。即便是一个无法制造先进战机的国家,也能通过键盘入侵搞垮美军战机。为此,明年他将把这些黑客送到内利斯空军基地和克里奇空军基地,深入探测军用飞机的每一个网络安全漏洞,搞清楚哪些后门会让黑客得以控制其他系统,乃至有效控制整架战机。此外,他还计划向“白帽子”黑客开放测试一个军用卫星地面控制系统。
信息安全漏洞“千疮百孔”
美国联邦新闻网14日证实,美军信息安全的后门漏洞,远远比想象中还要严重。从今年3月到6月,美国空军与五角大楼国防数字服务部门联合推进“捉虫赏金”计划,让黑客帮助寻找美国空军门户网站的漏洞,并对发现漏洞者给予13万美元奖励。在奖金的刺激下,各路黑客先后发现了空军云服务系统的54个漏洞。
国防数字服务部门“破解美国空军”项目组成员詹姆斯·托马斯证实,这次悬赏黑客比赛打开了五角大楼无法提供的另一个认知领域,尽管美军编设了专业的内部网络防护团队,开发安装了网络扫描器、入侵检测系统和设备,但军方防御人员并不完全具备黑客入侵的相关知识,黑客们出人意料的攻击也远远超出安防团队的想象。
国防数字服务部门总监布雷特·戈德斯坦认为,信息系统安全是一个持续的过程,不要指望一次测试就能发现所有后门漏洞,美军需要对信息系统安防不断进行重新评估。
美军网络中心战“防不胜防”
威尔·罗珀承认,对于美军战机系统被黑客轻易攻破的结果,他并不感到意外。数十年来,美国空军一直将时间、成本和效率列为优先事项,在武器装备研发上忽视网络安全控制。今天的危险局面正是这种采办惯性的必然结果。一方面,为美空军建造信息系统的公司掌握“后门”钥匙,不愿提供给空军用于测试。另一方面,美空军的传统信息系统落后于时代,即使是最好的技术人员也很难使它们更加安全。
此外,美军的复杂采办体制,让相关改革举步维艰。一位匿名网络安防专家告诉《环球时报》,信息安防是“道高一尺、魔高一丈”的动态对抗过程,随着信息系统软硬件的发展,再安全的系统也难免存在后门,没有绝对安全的信息系统。美军许多武器装备和国防服务大量外包给洛·马等大型军火公司,安防设计又被层层转包给小公司,美军对信息安全很难全程跟踪。F-15飞行系统被黑客攻破只是问题的冰山一角。作为网络中心战核心的美军新一代战机F-35,在2017年审查时也暴露出网络安全性问题,其已知漏洞没有得到彻底解决,迫使美军追加2600万美元让生产商洛·马公司“打补丁”,但这个“补丁”程序有没有漏洞、战时F-35会不会被黑、网络中心战会不会断网,美军恐怕心中也没有底。
文章来源:环球时报