Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Podatności w systemach okrętu USS Freedom
USS Freedom to pierwszy amerykański okręt z nowej klasy jednostek do walki na wodach litoralnych (ang. Littoral Combat Ship). Kosztujący 440 milionów USD okręt został wyposażony w najnowocześniejsze systemy komputerowe, które niestety… zawierają szereg poważnych podatności.
Freedom jest szybkim i stosunkowo niewielkim okrętem o napędzie konwencjonalnym i bardzo wysokiej manewrowości, przeznaczonym do operacji na wodach płytkich i przybrzeżnych. Jednostka została wyposażona w najnowocześniejsze systemy komputerowe i komunikacyjne znane jako Total Ship Computing Environment.
System Total Ship Computing Environment nadzoruje i integruje inne systemy samego okrętu, jak i odpowiada za komunikację oraz koordynację działań z innymi jednostkami. Centrum obliczeniowe stanowią tutaj tak zwane EME (ang. Electronic Modular Enclosure), które w praktyce wykorzystują serwery kasetowe (tzw. blade) firmy IBM oraz urządzenia sieciowe Cisco zamknięte w specjalnych, absorbujących drgania obudowach.
Pod względem programowym, wiadomo tylko tyle, że TSCE wykorzystuje około 9 milionów linii kodu, który rozszerza i wykorzystuje wcześniejsze oprogramowanie używane przez marynarkę wojenną Stanów Zjednoczonych. Z pewnością wspomniane systemy oferują wiele przydatnych funkcji i udogodnień, niestety, zawierają również znaczące podatności.
Amerykańskie media dotarły do informacji na temat tajnego raportu z testów bezpieczeństwa systemów komputerowych i komunikacyjnych USS Freedom, w którym jest mowa o wykryciu poważnych podatności:
A “red team” assigned to test weaknesses in computer systems found major deficiencies last year on Lockheed Martin Corp. (LMT)’s USS Freedom.
Wiadomo również, że Pentagon zalecił jak najszybsze załatanie wykrytych problemów.
Niestety, z oczywistych względów nie są znane żadne szczegóły dotyczące odnalezionych podatności, wiemy tylko tyle, że są one znaczące. Warto zauważyć, że luki zostały odnalezione w trakcie testów przeprowadzonych przez klienta, czyli amerykańską marynarkę. Producent systemu Total Ship Computing Environment — firma Raytheon, pomimo ogromnego doświadczenia w branży zbrojeniowej, nie dopracowała swego rozwiązania pod kątem bezpieczeństwa informatycznego.
Czy zatem exploity staną się w niedalekiej przyszłości orężem zdolnym do walki z najnowocześniejszym sprzętem wojskowym? Trudno jednoznacznie odpowiedzieć na to pytanie, jest jednak pewne, ze bezpieczeństwo informatyczne nabiera coraz większego znaczenia w niemal wszystkich dziedzinach i z pewnością nie ominie nowoczesnego pola walki.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
„Kosztujący 440 milionów USD okręt został wyposażony w najwcześniejsze systemy komputerowe, które niestety… ”
Korekta: najwcześniejsze
Dzięki, poprawione.