美國國防部最新報告：美軍武器系統可能已經被植入後門

E安全3月15日訊 根據美國國防部五角大樓的科學顧問們所言，美國軍方的大部分武器系統沒有採取任何旨在保護其硬體元件免受網路攻擊侵擾的措施，有相關證據證明，部分裝備中存在數位後門，

一旦在這種狀態下實戰，敵方完全能夠令美方武器陷入癱瘓。

在最新公佈的報告當中，美國國防科學委員會公佈了由其網路供應鏈任務小組整理出的研究結果，儘管報告結論認為確實存在風險，但出於資本成本的考量，

由國防部自行建立並維護“代工設施”以製造微晶片恐怕不具備可行性。該委員會鄭重警告稱，目前的美軍武器系統可能已經被植入後門，意味著其很可能在實際作戰行動中無法正常發揮作用，甚至會引發更糟的後果。

這份報告指出，“對美國所高度依賴的武器系統進行檢查後發現，幾乎所有武器的開發、採購與使用方式都沒有配合能夠切實防止惡意元件植入的正式保護規劃”

報告作者同時強調稱，“通常系統組態在很長一段時間內不會變動”，那些存在安全性漏洞的微電子元件或已被敵方勢力掌握的相關漏洞資訊，或被利用。此類漏洞被利用來實施攻擊活動將造成嚴重危害，因為美國軍方人員很難將其與電氣或者機械性質的故障問題區分開來。

報告作者警告稱，“此次任務小組還觀察到了嘗試利用惡意植入攻擊關鍵性武器系統但最終失敗的實例。

類似這種行為是否已經普遍存在尚且不知，但供應鏈中的假冒電子元件確實證明了這種攻擊的潛在可能性。”惡意植入行為在順利完成之後，“只能在系統啟動時才能夠被檢測到，並最終可能導致設計缺陷。”。“網路供應鏈安全性漏洞可通過系統的整個生命週期實現植入或者識別”，即在軍方所謂維護週期之內立足設計、構建與部署等步驟加以實施，且涵蓋武器系統日常維護與修理的全部階段。

更多全球網路安全資訊盡在E安全門戶網站www.easyaq.com

大部分美軍武器系統器件老舊情況堪憂

微電子市場的迅猛發展，加之武器系統通常需要很長時間進行設計與構建，美國不得不承認武器系統中使用的元件中平均有70%已然過時，

從原始製造商處獲得替換性零件也幾乎不可能。“這可能會迫使美國國防部從經銷商處購買來源不夠安全且產地更難以追蹤的元件”，即從經銷商灰色市場採購，當然這可能又會帶來其他的隱患。

報告作者指出，“採用相同微電子部件及嵌入式軟體的系統的使用週期越長，敵方就越可能獲得更多系統資訊並植入、發現安全性漏洞。這種漏洞的惡意植入與發現已經受到採購與維護供應鏈中各方的高度關注。”

目前，美國正在開發的武器系統本應在用於自我保護的安全規劃當中囊括這些威脅供應鏈，然而“保護計畫舉措的品質與重點皆不夠均衡”，其中不少舉措更傾向於考量對人員或者系統安全的保護，而非著眼於網路安全性漏洞。

即使是將網路威脅納入其中，論文作者們仍發現“安全與資訊系統管理員總在系統設計工作完成之後才著手解決安全問題”——這顯然有違安全最佳實踐指導。

另外，保護計畫舉措在採購階段之後往往即告中止，而事實上武器系統部署完成後其面臨的威脅急劇上升。論文作者們稱，“沒有證據表明在武器系統部署完成後，軍方會採取強有力的計畫以繼續實施保護工作，或者在系統持續使用的過程當中維護相關說明文檔。”

E安全注：本文系E安全獨家報導，轉載請聯繫授權，並保留出處與連結，不得刪減內容。”

目前，美國正在開發的武器系統本應在用於自我保護的安全規劃當中囊括這些威脅供應鏈，然而“保護計畫舉措的品質與重點皆不夠均衡”，其中不少舉措更傾向於考量對人員或者系統安全的保護，而非著眼於網路安全性漏洞。

即使是將網路威脅納入其中，論文作者們仍發現“安全與資訊系統管理員總在系統設計工作完成之後才著手解決安全問題”——這顯然有違安全最佳實踐指導。

另外，保護計畫舉措在採購階段之後往往即告中止，而事實上武器系統部署完成後其面臨的威脅急劇上升。論文作者們稱，“沒有證據表明在武器系統部署完成後，軍方會採取強有力的計畫以繼續實施保護工作，或者在系統持續使用的過程當中維護相關說明文檔。”

E安全注：本文系E安全獨家報導，轉載請聯繫授權，並保留出處與連結，不得刪減內容。