渗透测试报告：只要利用简单的工具与技术就能骇入美国国防部的武器系统

美国政府责任署（Government Accountability Office，GAO）本周针对美国国防部（DOD）的武器系统发表一渗透研究报告，指称DOD的主要武器系统缺乏严密的安全机制，只要利用简单的工具及技术就能在不被察觉的情况下掌控相关系统。

有鉴于DOD正打算支出1.66兆美元来发展现有的武器系统，潜在的对手则已开发锁定DOD的网络间谍/攻击技术，使得美国国会要求GAO审核DOD武器系统的网络安全状态。

GAO表示，现在的武器系统既电脑化又网络化，因而替对手营造了更多的机会，例如维护系统、工业控制系统、飞航软件系统、可辨识敌水的系统、生命支援系统、通讯系统、物流系统与数据库等，而这些只是台面上可公开的系统，并未计算被列为机密的武器系统。

于是GAO针对DOD的各式武器系统展开渗透测试，其中有两人一组的团队只花了一个小时就进入了其中一个武器系统，花了另外一天取得该武器系统的完整控制权。

尽管有些系统可防范未经授权的远端存取，却对近端或是内部人员门户大开。而且一旦测试人员得以进入某个系统，他们通常能在系统内畅行无阻，还能扩大权限直到取得系统的掌控权。

另有一组测试团队控制了操作员的终端，因此能即时地看到操作员的屏幕画面，还能操纵此一系统，也能在使用者的终端屏幕上跳出任意讯息。更有许多测试团队发现他们可以复制、变更或删除资料，其中一组直接下载了100GB的资料。

更令人担心的是，要存取或控制这些武器系统并不需要大费周章，测试团队透过简单的工具及技术就能办到。例如薄弱的密码设定到处可见，有人在9秒内就猜出了管理人员的密码，有些采用商业或开源软件的系统甚至未变更预设密码，且相关的安全控制亦不足。

总之，GAO认为DOD并未把武器系统的网络安全列为首要之务，也相信此次的发现并非DOD安全缺陷的全貌，因为他们并未测试所有的DOD专案，建议DOD在发展关键武器系统之际，应该要先改善相关系统的安全性。

其实美国国防部在2016年就展开抓漏奖励专案，邀请白帽骇客入侵国防部网域，迄今已执行6项抓漏专案，总计发现上千个安全漏洞，此外，DOD也在同年发表国防部漏洞揭露政策（DoD Vulnerability Disclosure Policy），提供安全人员回报漏洞的准则。