您的位置:首页 >国际 >

美国军方购买价值3280万美元的电子产品存在已知安全风险

2019-08-05 09:40:45来源:

美国国防部(DoD)的员工在2018财政年度购买了价值超过3280万美元的电子产品,这些电子产品已被证实存在安全漏洞,五角大楼总检察长上周表示。这些收购是由陆军和空军员工使用政府发行的支付卡进行的,用于购买不到10,000美元的小额购物。这些购买行为,国防部监察长认为陆军和空军正在将易受攻击的设备引入其可能被美国对手利用的网络中。该报告特别列出了Lexmark打印机,GoPro相机和联想计算机作为有问题的产品。

利盟购买

美国国防部监察长(DODIG)报告称,“陆军和空军GPC [政府购买卡]持有者购买了超过8,000台Lexmark打印机,总价值超过3000万美元,用于陆军和空军网络。”

审计人员称,从利盟购买打印机是一个很大的错误,引用了2018年国会关于供应链漏洞的报告,该报告警告不要使用利盟设备,声称这家总部位于中国的公司与中国军方有关,以及该国的核和网络间谍计划。

此外,DODIG还指出,Lexmark打印机过去曾受到20多个漏洞的影响,“包括以纯文本形式存储和传输敏感网络访问凭证,并允许在打印机上执行恶意代码。”

“这些漏洞可能允许远程攻击者使用连接的Lexmark打印机进行网络间谍或在国防部网络上发起拒绝服务攻击,”DODIG说。

但在发给ZDNet的声明中,利盟高级副总裁兼首席信息与合规办公室的Brad Clay表示,他“感到失望”并且“强烈反对利盟在国防部检查总审计中的代表性”,称利盟与该协会的关系。中国政府“毫无根据”。

GOPRO购买

此外,陆军和空军还购买了价值近98,000美元的117款GoPro运动相机。

“然而,摄像机存在漏洞,可能允许远程攻击者访问存储的网络凭证和实时视频流,”审计员说。

“通过利用这些漏洞,恶意攻击者可以在用户不知情的情况下查看视频流,开始录制或拍照。”

联想购买

但最大的问题是联想电脑。虽然不是最昂贵的购买,但DODIG强调了购买联想设备的几个问题,例如美国政府针对使用这些设备发出的大量安全警告。

例如,在报告称联想计算机使用隐藏的硬件或用于网络间谍的软件制造后,国务院在2006年禁止在其分类网络上使用联想计算机。

美国国土安全部在2015年发布了一份类似的警告,内容涉及包含预安装间谍软件的联想计算机以及各种严重漏洞。

2016年,工作人员情报局副局长也发布了自己关于联想的警报,警告手持式联想设备可能会将受损硬件引入国防部供应链,从而对机密和非机密国防部网络造成网络间谍风险。

然而,尽管有这些过去的警告,陆军在2018年购买了195台联想产品,总价值不到268,000美元,而空军以190万美元的价格购买了另外1,378款联想产品。

国防部机构忽视了以前的警告

安全

欧盟法院的裁决可能会导致社交类似和分享按钮的死亡

一位工程师解释了为什么你是一个想要隐私的白痴

英国制作非法复制品并对申根旅行者数据库管理不善

如何阻止(或至少减少)robocalls

网络安全101:保护您的隐私免受黑客,间谍和政府的侵害

勒索软件如何演变成城市的大问题(ZDNet YouTube)

该报告强调,在进行这些小型微购时,国防部机构经常忽略以前的网络安全警报。

例如,报告指出,利盟打印机仍然可以通过海军海军陆战队内联网COTS [商业现货]目录购买,并且最近在2019年2月被认证用于海军网络 - 尽管美国政府警告不要使用该供应商的设备。

DODIG报告将这些问题归咎于DOD管理错误。审计员表示,国防部未能建立一个部门来制定管理网络安全风险的战略,并且可以将DOD员工在购买之前可以咨询的已批准产品列表整理在一起。

审计员说,国防部过去曾试图这样做 - 即与负责研究和工程联合联合保障中心的国防部副部长办公室 - 但国防部未能授予其运作能力,这意味着该机构只存在于纸面上。

DODIG报告题为“国防部管理政府购买卡购买商业现货物品的网络安全风险”,是美国目前最大的国家安全问题的窗口 - 这是供应链攻击。

国家反情报和安全中心(NCSC)是国家情报总监办公室的一部分,宣布2019年4月为国家供应链诚信月,试图让国家机构和私营部门审查其供应链,并采取措施他们从美国已知对手(如中国)购买的设备和软件的说明。

本周早些时候,两位美国参议员还提出了一项名为“计算机硬件,知识产权与供应制造,投资与控制评估”(MICROCHIPS)法案的两党法案,试图让美国政府通过一项法律来创建一家国家机构,用于测试进入美国军方和其他联邦机构供应链的硬件和软件。

随着与中国的政治紧张局势达到历史最高水平,美国政府官员担心两国之间的潜在事件可能对美国的IT基础设施造成灾难性影响,而现在这些基础设施充斥着中国制造的设备。