1. 威客安全首页
  2. 安全资讯

美军的F-15战机一系统被黑客轻易攻破后,称将邀请实地入侵卫星系统


前些日子,提到了著名黑客文化大会Defcon,汇聚全球的黑客在此相聚,除了搞通过苹果充电线远控他们主机之外,在DefCon网络安全会议厅上方16层,有一群经过美军审核的黑客,正在试图破坏美国军用战斗机的重要飞行系统,显然,他们成功了。


这是外部安全研究人员第一次被允许物理访问关键的F-15系统来挖掘漏洞。


而两天后,七名黑客发现了多个重大漏洞 ,其中一个漏洞如果在现实中被利用,很可能导致飞机完全关闭其“可信飞机信息下载站”,该站在飞机进入时,会从摄像机和传感器中收集大量的飞行数据。


我理解的是,这就是一个记录飞行数据的系统,如果仅仅是关闭记录飞行数据的站点,打击度不够大。


美军的F-15战机一系统被黑客轻易攻破后,称将邀请实地入侵卫星系统


       因此从这个漏洞的实战性,个人觉得这群白帽子应该还发现其他漏洞了,碍于面子只放出一个重要性不大的漏洞。


       他们甚至发现了空军曾经尝试但未能解决的漏洞问题,因为同一批黑客在11月份进行了类似的测试而没有真正接触到该设备。


       “他们能够通过系统原本就存在的后门而进入系统”空军最高收购官员威尔罗珀在结果的独家简报中说。


       黑客发起了各种各样的攻击 – 包括用恶意软件注入系统,甚至用钳子和螺丝刀进行攻击。


       周六下午,黑客向Roper介绍了调查结果。他周围都是废弃的披萨盒,冰镇咖啡饮料,酒店的水杯装满了从五个完全拆除的TADS设备上拆下的螺丝,螺母和螺栓,这些设备的流行价约为20,000美元


       因为空军优先考虑时间,成本和效率,因此Roper称情况很糟糕,言外之意,发现了很多实用性漏洞。


       这些“白帽子”黑客全部来自五角大楼国防数字服务部门的外包商Synack网络安全创业公司,尽管这是他们首次获得授权测试入侵F-15战机实体系统,但他们去年已在不接触军用设备的情况下,入侵过类似的军用信息系统,事后美国空军试图“亡羊补牢”,却被证明是徒劳无功。


  负责采购、技术和后勤的美国空军部长助理威尔·罗珀证实,美军已改变过去的保守思维,放宽“白帽子”黑客测试入侵、攻击军用敏感设备系统漏洞的限制。他表示,“如果不允许本国最优秀黑客搜索发现美军飞机和武器系统的数字漏洞,那么这些后门将被俄罗斯、伊朗和朝鲜等潜在对手国家的顶级黑客率先掌握”。


  威尔·罗珀表示,美军所有战机都有数以百万计的代码行数,只要其中一行存在缺陷,就有可能被对手入侵。即便是一个无法制造先进战机的国家,也能通过键盘入侵搞垮美军战机。为此,明年他将把这些黑客送到内利斯空军基地和克里奇空军基地,深入探测军用飞机的每一个网络安全漏洞,搞清楚哪些后门会让黑客得以控制其他系统,乃至有效控制整架战机。此外,他还计划向“白帽子”黑客开放测试一个军用卫星地面控制系统。


  信息安全漏洞“千疮百孔”


  美国联邦新闻网14日证实,美军信息安全的后门漏洞,远远比想象中还要严重。从今年3月到6月,美国空军与五角大楼国防数字服务部门联合推进“捉虫赏金”计划,让黑客帮助寻找美国空军门户网站的漏洞,并对发现漏洞者给予13万美元奖励。在奖金的刺激下,各路黑客先后发现了空军云服务系统的54个漏洞。


  国防数字服务部门“破解美国空军”项目组成员詹姆斯·托马斯证实,这次悬赏黑客比赛打开了五角大楼无法提供的另一个认知领域,尽管美军编设了专业的内部网络防护团队,开发安装了网络扫描器、入侵检测系统和设备,但军方防御人员并不完全具备黑客入侵的相关知识,黑客们出人意料的攻击也远远超出安防团队的想象。

  国防数字服务部门总监布雷特·戈德斯坦认为,信息系统安全是一个持续的过程,不要指望一次测试就能发现所有后门漏洞,美军需要对信息系统安防不断进行重新评估。


  美军网络中心战“防不胜防”


  威尔·罗珀承认,对于美军战机系统被黑客轻易攻破的结果,他并不感到意外。数十年来,美国空军一直将时间、成本和效率列为优先事项,在武器装备研发上忽视网络安全控制。今天的危险局面正是这种采办惯性的必然结果。一方面,为美空军建造信息系统的公司掌握“后门”钥匙,不愿提供给空军用于测试。另一方面,美空军的传统信息系统落后于时代,即使是最好的技术人员也很难使它们更加安全。

  此外,美军的复杂采办体制,让相关改革举步维艰。信息安防是“道高一尺、魔高一丈”的动态对抗过程,随着信息系统软硬件的发展,再安全的系统也难免存在后门,没有绝对安全的信息系统。

      美军许多武器装备和国防服务大量外包给洛·马等大型军火公司,安防设计又被层层转包给小公司,美军对信息安全很难全程跟踪。F-15飞行系统被黑客攻破只是问题的冰山一角。作为网络中心战核心的美军新一代战机F-35,在2017年审查时也暴露出网络安全性问题,其已知漏洞没有得到彻底解决,迫使美军追加2600万美元让生产商洛·马公司“打补丁”,但这个“补丁”程序有没有漏洞、战时F-35会不会被黑、网络中心战会不会断网,美军恐怕心中也没有底。

*后半部分来自环球时报翻译


近期阅读


美军的F-15战机一系统被黑客轻易攻破后,称将邀请实地入侵卫星系统

▲点击此处或图片


还有3天知识星球官方8月20日开始将扣税20%,莅时本星球必然会涨价到300.因此有需看最新的网络安全情报和数据就赶紧进来吧,越早越好,欢迎光临!

美军的F-15战机一系统被黑客轻易攻破后,称将邀请实地入侵卫星系统

老板求转发+1

原文始发于微信公众号(黑鸟):美军的F-15战机一系统被黑客轻易攻破后,称将邀请实地入侵卫星系统

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X