作者 美國
國防信息中心 DAN GRAZIER 2019年1月31日
(美國空軍上尉邁克爾·斯洛滕,第61戰鬥機中隊的照片:美國空軍/工作人員中士詹森施蒂姆; POGO的動畫插圖)
未來主義者長期以來預測,下一次大規模戰爭的開端將更有可能是以大規模網絡攻擊的形式出現,而非戰機攻擊。美國一系列最近的政府報告詳細描述了國家對這種襲擊的脆弱性,這更加令人不安。第一份報告是2018年10月的 政府問責辦公室(GAO)的報告,報告指出從2012年到2017年進行測試的每套軟件武器系統 - 包括過去十年中建立的每套系統 - 都可以被黑客入侵。現在,2019年1月國防部(DoD)監察長報告總結了最近的一些監督報告,稱部門組成機構,包括各軍種,共有 266個網絡漏洞,主要與他們識別潛在威脅的能力有關。
儘管如此,許多參與採購過程的人都認為我們應該增加對網絡能力的依賴,很少有人懷疑除了將武器連接到互聯網以外,還應有哪些考慮。
GAO審查了2012年至2017年期間測試的某些計劃的網絡安全評估報告,發現每個軍種的計劃都定期發現一些“關鍵任務網絡漏洞”。對於國家安全問題,GAO報告沒有具體說明正在審查的計劃,它確實說審計員調查了各種武器,包括船隻和飛機,以及
通信系統。“使用相對簡單的工具和技術,測試人員就能夠控制系統,並且在很大程度上未檢測到操作,部分原因是基礎性的問題,如密碼管理不良 和未使用加密通信。”這與前五角大樓測試主管J.博士的警告相呼應。 Michael Gilmore博士, 他在2014年曾寫道 “網絡威脅已成為對美國軍隊的真正威脅,如同導彈,火炮,航空和電子戰威脅一樣。”“使用相對簡單的工具和技術,測試人員能夠控制系統,並且在很大程度上無法檢測到操作,部分原因是基礎性問題,如密碼管理不良和未使用加密的通信。”
政府問責辦公室報告稱,“武器系統網絡安全:國防部剛剛開始解決漏洞規模”
儘管存在著黑客的危險,但各軍種並不總是在努力確保其系統的安全性 - 就像2015年F-35聯合計劃辦公室取消了網絡測試一樣,理由是擔心該測試可能會對問題造成損害戰鬥機的計算機系統,這樣做實際上確實首先需要進行這樣的測試。像這樣的態度似乎是新常態的一部分:本報告的評估人員發現“GAO會見的計劃官員認為他們的系統是安全的,並且取消了一些一切實際的測試。”
GAO報告向前邁出了重要一步。這是該辦公室關於武器系統採購安全的第一份報告,與此前有關計算機網絡和數據庫等信息技術系統的報告形成鮮明對比。在這裡,涵蓋範圍擴大到包括DoD所稱的“網絡 - 物理系統”。這些是武器和車輛,如導彈和船隻等,它們從嵌入式軟件和與其他系統的網絡連接中獲得了很大一部分功能。某國政府在2015年入侵人事管理辦公室系統時,不是滲透網絡並竊取社會安全號碼和性能等級,而是一個網絡攻擊者可以遠程控制其中一個物理系統。
呈現攻擊面
每當一個物體接觸到網絡時,就會為潛在的對手創造一個利用的機會。五角大樓目前創建越來越多的網絡系統的方法類似於建造一座石頭城堡,然後不斷通過外牆敲門的大量努力。其中一些漏洞很簡單。許多軍事系統依賴商業或 開源軟件。評估人員發現,在許多情況下,工程師在安裝軟件時無法重置默認密碼。評估人員只需在線查找密碼即可獲得管理員權限,從而可以控制系統。
黑客已經找到了遠程破壞網絡車輛的方法。他們在2015年展示了這一點, 他們使用一臺筆記本電腦連接上了車載電腦持車輛劫持,此時車輛正在行駛之中。黑客打開了空調,調節電臺,並啟動了擋風玻璃刮水器。他們繼續切斷變速器並禁用了車輛制動器。那位同意參與黑客實驗的司機很無助地將吉普車開進了一條溝裡。通過此例,你很容易想象黑客可以對飛機做什麼。
對於像F-35上那樣的程序代碼來說,這是一個真正的問題。五角大樓已將其宣傳為“ 會飛行的計算機”。承包商洛克希德·馬丁公司在其網站上吹噓 ,F-35飛機依靠嵌入的800萬行軟件代碼,控制其大部分功能,包括飛行控制,雷達,通信,和武器。正如我們所報道的那樣,F-35的設計目的是作為飛機和地面系統網絡的一部分。這種複雜安排有能主敵方網絡戰士滲透和破壞或禁用數十年來預計將成為美國軍隊核心的飛機。
關於GAO報告的更令人不安的事情並不是它報告的內容,而是它沒有報道的部分。審計人員還沒有研究“物聯網”設備,例如健身設備,便攜式電子設備和智能手機,這些設備的問題更可怕。在2018年,這些設備供應商
收到了這些設備帶來的一些危險的目標數據:全球熱圖可以從服務對象(士兵)使用的健身追蹤器上傳的數據繪製出目標行進軌跡,結果暴露了幾個秘密的海外軍事基地的位置。最值得注意的是,GAO沒有考慮承包商設施的安全性,儘管作者暗示未來的報告將探討這個問題。承包商設施的安全是一個至關重要的問題,因為它們在五角大樓購買後長期支持武器方面發揮了作用。雖然許多人關注採購成本,但真正使F-35計劃成為歷史上最昂貴的計劃是維持它所需的資金。整個F-35企業依賴於有問題的自主物流信息系統(ALIS),該系統由洛克希德馬丁公司擁有和運營,佔該計劃14億美元年度維護成本的很大一部分 。在被描述為“ IT骨幹“該計劃中,ALIS是一個複雜的計算機網絡,集成了戰鬥任務規劃,威脅分析,維護診斷,供應鏈,維護計劃和培訓等內容。五角大樓的最高測試官員,軟件工程專家,於2018年1月報告說,他的辦公室已經發現ALIS網絡中的網絡漏洞可能會 威脅到國防部的行動。
這一點尤為重要,因為承包商對每輛車、武器和通訊設備的支持幾乎普遍存在。為了在武器計劃的整個生命週期中確保有利可圖的維持合同,國防承包商似乎拒絕對他們的商品中再自行設計。大多數人現在都在這些系統中指定技術 - 所有這些都是以政府費用開發的 - 作為專有技術。然後,他們與政府談判合同,允許他們保留政府購買武器的知識產權。特別是在網絡物理系統的情況下,五角大樓必須通過承包商進行任何升級以確保兼容性。
每當一個物體接觸到網絡時,就會為潛在的對手創造一個可以利用的機會。
承包商以多種方式從這種安排中受益。他們真正賺錢的地方是年度維護合同。通過持有知識產權,原始承包商成為唯一能夠甚至競標維護合同的實體,因為政府甚至無法寫出投標建議的有關要求。例如,諾斯羅普·格魯曼公司為瀕海戰艦製造了三個任務包模塊。每個模塊執行不同的功能,以滿足反潛戰,水雷戰和水面戰的任務需求,並可根據需要切換。在其宣傳材料中,諾斯羅普·格魯曼公司(Northrop Grumman)自豪地承擔了維持模塊的作用 ,海軍授予Northrop Grumman
4670萬美元的合同 ,他在2018年3月才做到這一點。國防收購的這一方面不僅使納稅人付出了沉重的代價,而且還為網絡滲透創造了更多的機會。通過這樣的安排,潛在的對手不必闖入政府計算機網絡 - 他們可以通過承包商的網絡入侵他們。這不是一個假設的問題。2016年11月,有人針對一家致力於F-35計劃的澳大利亞國防公司發起了網絡攻擊。被認為位於某國的黑客竊取了有關該計劃的敏感信息,包括原理圖。這不是F-35計劃第一次被黑客入侵。從2007年到2009年,某國黑客闖入了BAE Systems公司的數據庫竊取飛機雷達設計和發動機特性的數據。(BAE系統公司是F-35計劃的分包商 ,每架飛機約佔14%。)斯諾登洩漏公開的文件顯示,這些攻擊損害了與該計劃相關的數TB信息。
就公眾所知,這些黑客一直專注于飛機的設計。但攻擊者可能會通過承包商的網絡攻擊武器系統並中斷、禁用甚至遠程控制它。因為F-35是聯網的裝備,所以想象一個惡魔以支持吉普切諾基黑客的方式劫持F-35的某些功能並不是一件不容易的事。
一個潛在的對手可能甚至不必竭盡全力破壞艦隊。ALIS包括一個名為Mission Capability Override的功能特徵。如果他們認為ALIS的嵌入式診斷軟件錯誤地記錄了使飛機著陸的故障,則維護監督員可以取消F-35的飛行。當ALIS查找飛機中生成的所謂“健康報告代碼”時,可能會發生這種情況,這些代碼表明維護問題導致飛機不安全飛行。當ALIS檢測到其中一個代碼時,它會將飛機註冊為非任務能力,從而阻止飛行員啟動飛機。通過ALIS工作的網絡攻擊者可能會將虛假的健康報告代碼注入所有F-35的網絡,這將迫使維護主管在每架飛機起飛之前完成覆蓋過程。有了這種黑客的攻擊時,事情就不好辦了。
支付高級版以添加漏洞
所有這些中的成本因素也不容忽視,因為它會造成惡性循環。與模擬等效系統相比,五角大樓為支持軟件系統支付了額外費用。這些更昂貴的系統中的每一個都增加了我們面對黑客攻擊時的脆弱性,這意味著五角大樓需要花費更多來保護它們。 在2019財政年度,美國國防部將花費近 85億美元用於網絡安全工作。這對於出售原始“物品”的軟件公司來說是一個很好的安排,然後向政府收取保護措施的安全措施,但它並不適合納稅人 - 對部隊說什麼都沒有,他們可能會發現自己在戰鬥中使用的武器在他們最需要時突然停止工作。
好像是為了說明網絡武器易受攻擊的程度,在GAO發佈調查結果前幾個月,美陸軍發佈了一種能夠禁用遠程武器站的非致命武器的徵集書。陸軍領導人希望一名士兵可以攜帶一個小型裝置,通過遮擋其光學器件,禁用其穩定機制或破壞其基本電子元件,使敵人的遠程武器變得無用。當然,他們忽略的是一個基本事實,即如果我們能夠對敵人這樣做,那麼他們就可以對我們這樣做。我們的弱點為他們提供了大量的機會。美國陸軍有8,000多個常用遙控武器站,用於控制 Stryker車輛,M1A2艾布拉姆斯坦克,MRAP,悍馬和其他車輛。海軍和海岸警衛隊在巡邏艇上各使用改裝版。
潛在的對手不是在等待戰鬥來展示自己破壞電磁頻譜的能力。2018年秋天,北約軍隊在挪威為三叉戟交界訓練進行訓練, 他們注意到了可能誤導軍用和民用飛機的GPS信號混亂問題。挪威官員報告說,他們向科拉半島的俄羅斯軍事基地追蹤了干擾信號。美國官員表示,干擾行為 對美國軍隊“
很少或根本沒有影響 ”。無論這是否真實,這一情況都表明,世界各地的軍事領導人都瞭解美國依賴網絡系統的程度,並正在開發利用我們創造的漏洞的能力。有些人瞭解並似乎瞭解這些危險。美國國防部國防科學委員會於2017年2月發佈了其“ 網絡威懾特別工作組 ”的最終報告。該工作組得出結論:“[b]在美國在民用關鍵基礎設施的網絡防禦方面有重大問題,美國不會能防止俄羅斯或某國發生大規模和潛在的災難性網絡攻擊。“危險遠遠超出了民用基礎設施。報告說這關於軍事系統:
對軍事系統的攻擊可能導致美國的槍支,導彈和炸彈未能射擊或引爆或被導向我們自己的部隊; 或食物,水,彈藥和燃料未在需要時到達; 或喪失位置/導航能力或其他關鍵的作戰人員。此外,這些攻擊的成功組合可能嚴重破壞美國軍隊保護祖國和履行我們延伸威懾承諾的能力的可信度。
特別工作組表明軍隊都易受這種明顯的攻擊 。特別工作組建議五角大樓不要將核武器系統附加到網絡上,因為這樣做會“擴大他們對攻擊者的攻擊面。”該報告沒有具體說明哪些系統,但工作組可能會考慮
哥倫比亞級的計劃。彈道導彈潛艇和B-21襲擊者 - 這是五角大樓正在考慮加入網絡的兩種武器。儘管如此,國家安全領域的領導人物仍希望在這一戰略中加倍努力。在參加戰略與國際研究中心會議之前,美軍參謀長聯席會議副主席詹姆斯卡特賴特將軍表示,軍方需要重新調整其認為適應更多技術的方式。“能夠從每臺機器的人數轉變為每人機器數量的能力是指揮和控制結構的最終目標,它允許這種情況發生,”卡特賴特說。
這些服務是以實物形式回應的。陸軍官員 最近向 科技行業徵求意見,使用機器人近距離禁用或殺死敵方目標,特別是在城市地區。這種類型的系統可能需要幾年才能投入現役,但五角大樓每年都會繼續將數千臺設備連接到網絡。陸軍 在2017年購買了 9,783臺Getac平板電腦,供士兵用於連接國防部基於網絡的物流網絡 - 全球作戰支援系統。步兵,裝甲和騎兵部隊前線的士兵正在為
Nett Warrior系統配備智能手機 。設備上的軟件集成了GPS導航,消息傳遞和Blue Force Tracking(在數字地圖上繪製友好單元的程序)功能,並通過戰術無線電接收器連接到網絡。未來的版本將允許士兵利用從頭頂飛過的飛機的視頻輸入。美國陸軍預計至少需要支付1.58億美元才能為其步兵編隊裝備數以千計的新裝置,其中任何一種裝置都可能被潛在對手用來滲透到網絡中。
來自該領域士兵的許多報告都是積極的,但這樣的系統為敵人的破壞創造了機會。陸軍領導人希望為每個班長配備一個Nett Warrior系統,這意味著每個步兵旅戰鬥隊(IBCT)將有600人能夠連上網絡。陸軍和國民警衛隊目前共有 33個IBCT。這意味著IBCT中將會有19,800個Nett Warrior系統。GAO明確地指出“這種對軟件和IT的日益依賴是有代價的。它大大擴展了武器的受攻擊面。“ 每臺8,000美元,陸軍預計至少需要支付1.58億美元才能為其步兵編隊配備數千臺新設備,其中任何一種設備都可能被潛在對手用於滲透網絡。
Nett Warrior運行在基於Android的智能手機上,運行在開源軟件上。有許多方法可以滲透Android設備。在
中間人攻擊,例如,黑客使用設備的無線通信功能來訪問和重定向信息。通過這種方式,有人可以確定設備的物理位置並攔截語音和數據通信。快速谷歌搜索顯示成千上萬的網站提供遠程訪問Android設備的教程。如果它沒有破滅......
只是因為某些東西看起來過時或者沒有使用最新的裝置並不意味著它不再在戰場上佔有一席之地。美國軍事史上的許多標誌性武器和車輛都獲得了自己的地位,不是因為它們擁有尖端的設計,而是因為它們沒有。部隊傾向於崇拜簡單的武器和技術,可以在需要時依靠它們來工作。自由艦,M1911手槍(陸軍服役75年)和吉普車都是簡單設計的例子,完全符合他們的需要。今天美國人仍然在路上看到吉普車,因為第二次世界大戰中的士兵變得愛上了他們。吉普車可以用作機槍平臺,臨時救護車和火炮運輸車。每輛售價650美元(今天大約9,000美元),吉普車的價格便宜,適合任何地形,並且易於維護。
這並不是說五角大樓會廢棄所有網絡系統,而是支持他們的模擬等價物。例如,高級指揮中心,特別是在旅級及以上級別的指揮中心,可能無法有效地協調與鄰近和上級總部的工作,而無需聯網。
但政策制定者應該仔細考慮他們在戰術力量上積累的技術情況。海軍通訊官最近在撰寫有關為戰術部隊裝配高帶寬網絡所涉及的困難時提出了這一點。“海軍陸戰隊經常連續幾天連續18小時對數據鏈路進行故障排除是很常見的,”他寫道。“這部分是因為他們系統的複雜性,但更多時候是由於必須與輪班節點的承包商協調,他們在輪班工作中工作,不瞭解特定的海軍陸戰隊任務,不在指揮官的意圖內操作,以及缺乏統一的努力。“他認為必要的信息可以通過更簡單,更安全的低帶寬手段進行傳播。
在網絡能力適當或不可避免的情況下,國會應要求五角大樓全面實施最近的舉措,以測試國防部的網絡和系統,以確保在授予合同之前達到安全標準。國會和國防部還應支持將網絡安全納入未來武器計劃
基本設計的努力。結論
作為一般規則,五角大樓應該購買最簡單的工具來完成預定的任務。如果各軍種可以在不向敵方網絡戰士提供接入點的情況下完成任務,那麼他們就應該採用這種方式。除了實際完成比低技術替代方案更好的特定任務之外,任何高科技武器的整體性能優勢必須抵消隨之而來的網絡漏洞和額外的後勤負擔。各軍種應拒絕任何未通過此測試的系統。
不可否認,這是一個艱難的選擇。只有軍事 - 工業 - 國會大廈的成員才能看到兩個不同的小工具,兩者都是為了執行同樣的任務,並說:“讓我們買一個花費一大筆錢,讓我們更容易受傷的小工具!”
五角大樓最高採購官員艾倫勳爵去年年底發佈了指導意見,要求國防部在未來的合同中要求使用標準語言來增加網絡安全工作。除此之外,政府的網絡安全工作並沒有激發人們的信心。還有很多工作要做,以確保軍方不會將失敗的手段變成自己的工具。這項努力的出發點應該是對傳統觀念的重新審視,即高科技等於更好的技術。
閱讀更多 網絡電磁空間 的文章
