De wapensystemen die door het Amerikaanse ministerie van Defensie worden ontwikkeld, zijn kwetsbaar voor cyberaanvallen, wat betekent dat een boosdoener met hackvaardigheden mogelijk de controle over dergelijke wapens kan overnemen zonder opgemerkt te worden, volgens een nieuw rapport van het US Government Accountability Office (GAO), uitgebracht in oktober 9.
En de DOD leek zich niet bewust van de bedreigingen: hoewel tests uitgevoerd door de DOD zelf zulke kwetsbaarheden hebben aangetoond, vertelden afdelingsfunctionarissen tegen de GAO dat ze "geloofden dat hun systemen veilig waren en dat sommige testresultaten als onrealistisch werden beschouwd", aldus het rapport, dat is gebaseerd op een analyse van DOD-cyberveiligheidstests, -beleid en -richtlijnen, evenals DOD-interviews.
"Met behulp van relatief eenvoudige tools en technieken konden testers de controle over systemen overnemen en grotendeels onopgemerkt blijven, deels als gevolg van fundamentele problemen zoals slecht wachtwoordbeheer en niet-versleutelde communicatie", aldus het rapport.
Eén testteam heeft zelfs het wachtwoord van een beheerder in slechts 9 seconden gekraakt. Een DOD-functionaris zei dat de tijd voor het kraken van wachtwoorden geen nuttige maatstaf is voor de beveiliging van een systeem, omdat een aanvaller maanden of jaren kan besteden aan het proberen in te breken in een systeem; met die tijdlijn, of het nu een paar uur of een paar dagen duurt om een wachtwoord te raden, heeft geen zin. De GAO zei echter dat een dergelijk voorbeeld laat zien hoe gemakkelijk het is om dit bij de DOD te doen. (Bekabelde schrijver Emily Dreyfuss deed verslag van de 9 seconden durende wachtwoordkraak op 10 oktober.)
De analyse en het rapport waren op verzoek van de Senate Armed Forces Committee in afwachting van de 1,66 biljoen dollar die de DOD van plan is te besteden om zijn huidige "portfolio" van grote wapensystemen te ontwikkelen.
Wapensystemen zijn in toenemende mate afhankelijk van software om hun functies uit te voeren. De wapens zijn ook verbonden met internet en andere wapens, waardoor ze volgens de GAO geavanceerder zijn. Deze vooruitgang maakt ze ook "kwetsbaarder voor cyberaanvallen", aldus de GAO.
Elk onderdeel van een wapensysteem dat door software wordt aangestuurd, kan worden gehackt. "Voorbeelden van functies die door software worden ingeschakeld - en mogelijk compromitterend zijn - zijn het in- en uitschakelen van een systeem, het richten op een raket, het op peil houden van het zuurstofniveau van een piloot en vliegende vliegtuigen", aldus het GAO-rapport.
Hoewel de DOD de afgelopen jaren is begonnen met het verbeteren van de cyberbeveiliging, zei de GAO, staat hij voor verschillende uitdagingen, waaronder het gebrek aan informatie-uitwisseling tussen programma's. Bijvoorbeeld: "als een wapensysteem een cyberaanval zou meemaken, zouden de functionarissen van het DOD-programma geen specifieke details over die aanval krijgen van de inlichtingengemeenschap vanwege het soort classificatie van die informatie", aldus het rapport.
Bovendien heeft de DOD het moeilijk om cybersecurity-experts in te huren en te behouden, aldus het rapport.
Hoewel de GAO zei dat het nu geen aanbevelingen heeft, denkt het bureau dat de kwetsbaarheden die in zijn analyse worden opgemerkt 'een fractie van de totale kwetsbaarheden vertegenwoordigen als gevolg van testbeperkingen. Niet alle programma's zijn bijvoorbeeld getest en testen weerspiegelen niet het volledige scala van gevaren."
Origineel artikel over WordsSideKick.com.