【每日安全资讯】美导弹防御系统安全审计:无加密无双重认证 28年漏洞未修补...

美国国防部总督察长室(DOD IG)近日披露了美国弹道导弹防御系统(BMDS)的安全审计,其中对网络安全的相关描述写道:“没有数据加密、没有防病毒程序、没有多因素身份认证机制,28年的陈旧漏洞至今仍未修补。”BMDS是美国国防部计划通过发射弹道导弹拦截敌方核弹来保护美国领土的计划。在审计报告[PDF]中,DOD IG官员对BMDS中的导弹防御局(MDA)存放的弹道导弹站点进行了随机调查。

640?wx_fmt=png

在这份安全审计报告中得出的结论是:“陆军、海军和MDA都没有保护网络和系统来处理、存储和运输BMDS技术信息。”审计人员发现了几个比较严重的问题,其中最大的就是尚未部署多因素身份验证。

在正常情况下,任何新的MDA员工都会收到用于访问BMDS网络的用户名和密码。随着新员工进入新工作岗位,他们还会收到一张公共访问卡(CAC)。通常他们必须将CAC和密码配合使用,并将其作为第二因素身份验证。而且正常程序表明,所有新的MDA工作人员必须在雇用后的两周内使用多因素身份验证。

640?wx_fmt=png

但在这份审计报告中在随机抽查的5个站点中,调查人员发现有3个站点内的很多用户并没有启用多因素身份验证,并且仍然使用他们的用户名和密码来访问BMDS的网络。一位用户在没有卡提供保护的情况下访问了BMDS数据七年,在一个MDA网站上,调查人员表示他们还发现网络从未配置为支持多因素身份验证。

缺乏多因素身份验证意味着员工容易受到网络钓鱼攻击,这些攻击可以收集密码并允许攻击者远程或本地访问BMDS系统而不会出现进一步的安全挑战(第二个身份验证因素)。

更令人担忧的是,DOD IG审计人员发现在他们访问的5个站点中,有3个站点的IT管理员并未安装应用安全补丁,导致计算机和相邻网络系统容易受到远程或本地攻击。调查人员发现很多2016、2013年已经修复的漏洞并未及时安装更新,甚至1990年的漏洞仍未修复。

*来源:cnBeta.COM

更多资讯

◈ Twitter 警告来自中国和俄罗斯的可疑流量

http://t.cn/E4v8kyZ

◈ Chrome将强化“后退”按钮 打击后退至广告页行为

http://t.cn/E4vRPEM

◈ 网络黑客利用漏洞“截胡”商家服务费 牟利2500余万元

http://t.cn/E4vRwIs

◈ 用户该怎么捉数据泄露的“BUG”

http://t.cn/E4vRUYU

(信息来源于网络,安华金和搜集整理)

640?wx_fmt=jpeg



  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值