سرمایه‌گذاری آمریکا روی یک فناوری آسیب‌پذیر

به گزارش کارگروه بین‌الملل سایبربان؛ وزارت دفاع ایالات متحده، سال گذشته میلیون‌ها دلار روی ارز الکترونیك حاوی آسیب‌پذیری‌های امنیت سایبری سرمایه‌گذاری کرد که به اعتقاد برخی در برابر جاسوسی سایبری چین آسیب‌پذیر است. براساس یافته‌های عنوان شده در حسابرسی اخیر بازرس کل پنتاگون (IG) برای عملیات‌های فضای سایبری، درصورتی که اقدام سریع نظامی صورت نگیرد مأموریت‌های مهم امنیت ملی به خطر می‌افتند.

به گزارش بازرس کل، برخی مدل‌ها و مارک‌های فناوری آماده به دشمنان اجازه دسترسی به زیرساخت‌های ارتباطی، سیستم‌های فرماندهی و کنترل و شبکه‌های اطلاعاتی، نظارتی و شناسایی را می‌دهند. 

بدین منظور، هزینه کردن حداقل 32.8 میلیون دلار برای خرید محصولات غیرسفارشی از سوی نیروی زمینی و هوایی ایالات متحده در سال مالی 2018 باعث نگرانی شده است. این محصولات شامل نرم‌افزار، دوربین‌ها و تجهیزات شبکه‌ای مشخص شده از سوی وزارت امنیت داخلی و ستاد مشترک اداره اطلاعات کارکنان و همچنین رایانه‌هایی هستند که برای استفاده کارکنان وزارت کشور از سال 2006 ممنوع شده‌اند.

با اولین حمله سایبری بزرگ از سوی چین در سال 2003 روی وزارت دفاع آمریکا، جلوگیری از این حملات به یکی از دغدغه‌های اصلی ارتش تبدیل شده است. به گفته محققان امنیتی، سال گذشته دولت چین شبکه کامپیوتری پیمانکار نیروی دریایی را هک کرد و به اطلاعات بسیار محرمانه برنامه موشکی زیردریایی دسترسی یافت. در همان سال، نقض سوابق مسافرتی وزارت دفاع باعث افشای اطلاعات شخصی و کارت‌های اعتباری ده‌ها هزار خدمتکار و غیرنظامی شد؛ اگرچه این مسئله صراحتاً با پکن ارتباطی نداشت، اما نشان داد که نیروهای جاسوسی سایبری با حدود 200 هزار عضو درگیر بخش‌های نظامی و خصوصی هستند. به علاوه، گزارش منتشر شده اداره حسابرسی دولتی در ماه اکتبر گذشته نشان دهنده آسیب‌پذیری‌های مهم سایبری در مأموریت‌ها در تقریباً تمام سیستم‌های سلاحی توسعه یافته از سوی ارتش آمریکا بین سال‌های 2012 تا 2017 است. 

پل استروسکی (Paul Ostrowski)، افسر مالکیت نیروی زمینی در نشست برگزار شده در اوایل ماه جاری گفت:

چینی‌ها پیشتر به کارکنان من نفوذ کرده بودند. سیستم پرسنل نیز آسیب دیده و این مسئله نه تنها در نیروی زمینی، بلکه در دفتر وزارت دفاع به نگرانی اصلی تبدیل شده است؛

هشدارهای بیهوده 

گزارش حسابرسی جدید نشان می‌دهد که حدود 80 درصد سیستم‌های وزارت دفاع جزء موارد حمل سریع یا شامل عناصر در دسترس تجاری هستند؛ با این حال، هنوز هیچ لیستی از محصولات تأیید شده برای جلوگیری از خرید کالاهای ناامن وجود ندارد.

در مثال مشخص شده از طرف بازرس‌کل، پنتاگون به خرید و استفاده از سیستم‌های جاسوسی ویدئویی ساخته شده به‌‎وسیله 2 شرکت چینی فناوری دیجیتال «Hangzhou Hikvision» و فناوری «Dahua» تا حداقل 16 ماه پس از هشدار وزارت امور خارجه مبنی بر جاسوسی سایبری ادامه داد. وزارت دفاع تا ماه اوت 2018 – زمانی که کنگره به‌طور رسمی دولت فدرال را از فعالیت تجاری با این 2 شرکت منع کرد – متوقف نشد.

مشکلات فعلی مشخص شده از سوی بازرس کل شامل محصولات خانگی مانند : کامپیوترهای «Lenovo»، چاپگرهای «Lexmark» و دوربین‌های «GoPro» هستند.

لنوو

گزارش فوق نشان می‌دهد که در سال 2006 وزارت امور خارجه پس از گزارش‌هایی مبنی بر ساخت کامپیوترهای شرکت با نرم‌افزار جاسوسی مخفی محصولات لنوو را از شبکه‌های محرمانه خود ممنوع کرد. وزارت امنیت داخلی در سال 2015 درمورد آسیب‌پذیری‌های امنیت سایبری در دستگاه‌های لنوو هشدار داد و در سال 2016 ستاد مشترک اداره اطلاعات کارکنان تأکید کرد که سخت‌افزار لنوو خطر جاسوسی سایبری روی شبکه‌های محرمانه و غیرمحرمانه و آسیب احتمالی به کل زنجیره تأمین وزارت دفاع را دارد.

با این وجود، نیروی زمینی آمریکا سال گذشته 195 محصول لنوو را با هزینه حدود 268 هزار دلار و نیروی هوایی  1،378 محصول لنوو را با مبلغی معادل 1.9 میلیون دلار خریداری کرد. 

لکس‌مارک

سال 2018، نیروی زمینی و هوایی ایالات متحده  بیش از 8000 چاپگر لکس‌مارک را با قیمتی معادل 30 میلیون دلار خریداری کردند. براساس گزارش بازرس کل، این شرکت متعلق به یک کنسرسیوم از شرکت‌های چینی است و ارتباطاتی با برنامه‌های نظامی، هسته‌ای و جاسوسی سایبری این کشور دارد. پایگاه داده آسیب‌پذیری‌های دولت آمریکا، 20 نگرانی شناخته شده امنیت سایبری مرتبط با لکس‌مارک مانند ذخیره‌‌سازی و انتقال اعتبار دسترسی به شبکه حساس در یک متن ساده و اجازه اجرای کدهای مخرب روی چاپگر را بیان کرد که می‌توانند به مهاجمان از راه دور اجازه استفاده از چاپگر متصل لکس‌مارک برای اجرای جاسوسی سایبری یا انجام حمله انکار سرویس روی شبکه وزارت دفاع را بدهند.

GoPro

سال گذشته، نیروی زمینی و هوایی آمریکا همچنین 117 دوربین GoPro را با هزینه‌ای بالغ بر 98 هزار دلار خریدند. به گفته بازرس کل، قابلیت‌های بلوتوث و بی‌سیم توکار با وجود اجازه به کاربران برای اشتراک ویدئو در زمان واقعی، آسیب‌پذیری‌هایی دارند که باعث دسترسی مهاجمان از راه دور به اعتبار ذخیره شده شبکه و جریان‌های زنده ویدئویی می‌شوند. با سوءاستفاده از این آسیب‌پذیری‌ها، عامل مخرب می‌تواند با بدون اطلاع کاربر ویدئو را مشاهده و شروع به ضبط کند یا عکس بگیرد.

اقدامات بعدی

بازرس کل هشدار داد که وزارت دفاع باید پیش از هرگونه اقدامی شروع به شناسایی، ارزیابی و کاهش خطرات امنیت سایبری ناشی از فناوری آماده کند. با این حال، سیاست فعلی وزارت دفاع تنها کاهش خطرات امنیت سایبری بعد از خرید است.

این مقام آمریکایی در گزارش خود نوشت:

با وجود سیاست‌های وزارت دفاع و سازمان‌های بی‌شماری که آزمایش و تجزیه و تحلیل امنیت سایبری را انجام می‌دهند، هیچ سازمانی ارزیابی خطرات کالاهای تجاری آماده مصرف در وزارت دفاع انجام نداده، موارد پرخطر را برای آزمایشات بعدی شناسایی نکرده و به‌طور جدی پیشنهاد جلوگیری از این موارد پرخطر را در صورت نیاز صادر نکرده است. این یک مشکل جدی است و تصویب یک قانون شاید تنها راه‌حل باشد.

وی افزود:

در عین حال، ما توصیه می‎‌کنیم که وزیر دفاع یک سازمان یا گروهی را برای توسعه رویكرد مبتنی بر ریسك به منظور اولویت‌بندی محصولات تجاری آماده مصرف جهت ارزیابی آینده، آزمایش موارد پرخطر و جلوگیری از خرید و استفاده از این محصولات – درصورت نیاز و تا زمان کاهش راهبردهای محدود کننده خطر در سطح قابل قبول – هدایت کند.