Un controllo della sicurezza del sistema di missili balistici statunitense effettuata dal Dipartimento della Difesa statunitense Ispettore generale (DOD IG) ha rivelato una serie di problemi di sicurezza gravi. Il rapporto è stato condotto in risposta ad una richiesta del Congresso per la revisione dei controlli disponibili per proteggere le informazioni tecniche BMDS, se gestita da appaltatori della difesa eliminato, o da parte del governo.
La conclusione dell'analisi condotta è piuttosto fastidioso, affermando che “l'esercito, Marina Militare, e MDA non di proteggere le reti e sistemi che elaborano, negozio, e trasmettere informazioni tecniche BMDS.”
Poco detto, il sistema missilistico è carente di misure di sicurezza di base tra cui una corretta autenticazione a più fattori, Programma antivirus, crittografia dei dati. Per coronare questi off, la relazione ha rilevato che alcune delle vulnerabilità senza patch sono 28 anni di età.
La mancanza di autenticazione a più fattori, Numerosi difetti senza patch
Secondo il rapporto, la questione più preoccupante è quella che riguarda autenticazione a più fattori. Tipicamente, nuovo MDA (Missile Defense Agence) i dipendenti ricevono un nome utente e password necessari per le reti di BMDS. Essi sono inoltre dotati del cosiddetto Common Access Card (CAC) che deve essere abilitato e utilizzato in combinazione con una password e un metodo di autenticazione a due fattori. Il problema è che in tre su cinque posizioni ispezionate dipendenti non avevano permesso autenticazioni multifattoriali per i loro conti, e sono stati applicando solo nomi utente e password per l'accesso alla rete BMDS’.
Che cosa significa questa mancanza? Lascia i dipendenti ed i sistemi a rischio di attacchi di phishing che mirano a raccogliere le password e consentendo attori minaccia per accedere ai sistemi.
All'inizio che fuori, alcuni dei sistemi sono risultati essere vulnerabili, con le patch mancanti per le falle di sicurezza che risale al 1990! Altri sono stati scoperti e fissati in 2013 e 2016, ma sono state applicate senza patch, lasciando il sistema aperto per attaccare. Va notato che la relazione è fortemente redatto in questa particolare parte, il che significa che i difetti sono ancora fissate mentre parliamo.
Le raccomandazioni di sicurezza che affrontano tutte le questioni comprendono:
- utilizzando autenticazione a più fattori;
- mitigare le vulnerabilità in modo tempestivo;
- proteggere i dati su supporti rimovibili;
- attuazione di capacità di rilevamento delle intrusioni.
Precedenti relazioni Scoperto Problemi nelle agenzie federali, Siti web Marine Corp
Un altro rapporto che è stato rilasciato in estate, dal titolo “Determinazione federale Cybersecurity Risk Report e piano d'azione”, evidenziato [wplinkpreview url =”https://sensoritechforum.com/u-s-federal-agencies-lack-cybersecurity/”]la sicurezza informatica inadeguatezza della U.S.. agenzie federali.
Poco detto, il rapporto ha scoperto che c'è poca consapevolezza della situazione, alcuni processi standard per la segnalazione o la gestione di attacchi e quasi nessuna agenzia in modo appropriato svolgimento anche la crittografia di base. Secondo l'OMB, l'attuale stato federale della sicurezza informatica è “insostenibile”. Più in particolare, fino a tre quarti delle agenzie federali hanno programmi di sicurezza informatica altamente insufficienti con le lacune di sicurezza significativi. Alcuni dei programmi sono classificati come “a rischio”, mentre gli altri sono “ad alto rischio” in cui i processi fondamentali sono carenti.
Inoltre, nel mese di ottobre, tanto quanto [wplinkpreview url =”https://sensorstechforum.com/150-vulnerabilities-us-marine-corp/”]150 vulnerabilità sono state scoperte dagli hacker white hat in siti web US Marine Corp e servizi correlati. Le vulnerabilità sono stati scoperti nel corso di un programma di bug bounty chiamato “Hack il Corpo dei Marines”, organizzato dal Dipartimento della Difesa statunitense e HackerOne. Più di 100 hacker etici hanno partecipato all'evento.