1996年国会听证会情报和安全
1996年国会听证会随着技术给了我们创建,存储和传递信息的先进手段,它也使这些信息更容易。考虑我军的例子。我们的军队是最技术上处于世界领先。美国国防信息基础设施(以下简称“DII”),支持军队作战,情报和业务功能操作。国防部(以下简称“国防部”)是非常依赖于计算机系统飞行,战斗,饲料和跟踪我们的军队。这些系统的保护从而对国家安全至关重要。
例如,在危机或战争发生时,将物资输送到适当的哨所或基地的计算机后勤系统必须为需要它们的军事设施提供正确数量的子弹或防毒面具。如果用牙刷代替子弹,显然会对军事部署、演习或行动产生巨大影响。或者,如果外敌能够追踪到这些物资的流动,战略决策就会失去机密性。
然而,超过90%的DII是由非机密系统组成的。非机密计算机系统是指系统中的每个单独文件都是非机密的系统。虽然每一份文件都被视为非机密文件,但非机密系统实际上包含了数千份“敏感”文件。4文件,包括战争作战系统的研究和开发,情报数据,部队调动和武器采购。
在计算机系统出现之前,这些非机密信息得到了更好的保护。每个文件都在文件柜里,可能是锁着的。这个文件柜将被安置在一个办公室,可能是在一个锁着的门后的政府
4“敏感信息”定义为《隐私法案》(I 5 U.S.C. Section 278g-3(d)(4))中“可能对国家利益或联邦项目的实施产生不利影响的损失、滥用、未经授权访问或修改的信息,或个人有权享有的隐私”的非机密信息。
大楼里甚至可能有武装警卫。这座政府大楼很可能建在一个有围栏和门卫的军事设施上。
为了获取所有这些非机密信息,敌人必须进入军事设施进入每一栋建筑,每一个房间和每个文件柜。然后,对手将不得不以某种方式删除所有的纸质文件或复制它们而不被发现。国防部绝不会考虑拆除其周边的围栏、门卫、门锁或文件柜,也不会考虑允许未经授权的人员在其设施中漫游或访问其纸质文件。
在虚拟的世界,但是,所有的这些机密文件可能位于连接到几乎世界上任何其他计算机的任何地方一台服务器上。或通过使用关键字搜索,只需要这些文件 - - 入侵者可以绕过电子安装门卫,通过所有的文件柜进入大楼,并与几个按键,临检,然后让所有的文件的副本,离开而没有被检测到。
一旦在电子文件中,入侵者也可以修改信息。入侵者可以安装“定时炸弹”5在预定的时间或事件中破坏或改变信息。有些人这样做可能是恶作剧,而其他人可能有更险恶的目的,如不利影响军事单位的准备。
5“定时炸弹”或“特洛伊木马”是一种用来破坏或破坏系统的黑客技术。它通常是计算机程序中一个用户受害者不知道的隐藏功能。
这不仅仅是国防部或任何其他机构必须关注的信息盗窃。我们的军事领导人必须对他们的数据和信息的准确性和完整性有信心。修改后的数学公式可能会改变导弹或飞机的飞行路径。国防部财政系统小数点移位可能会造成严重破坏。
此外,国防部必须始终能够访问其信息。对某些信息的破坏或拒绝获得对某些单位进行任务的能力具有严重影响。
在现实世界中,我们的国防部绝不会允许它的信息像在虚拟的、电子的世界中那样处于危险之中。高级领导和管理者了解物理世界中的威胁,但直到最近才发现虚拟世界中的威胁。
对我们的军队来说是正确的,对政府的其他部分和私营部门也是正确的。识别和解决漏洞是至关重要的。那么,我们的信息基础设施的主要弱点是什么?工作人员在三个主要领域发现了弱点:(1)软件和硬件弱点;(2)人性的弱点;(3)缺乏安全文化。这些漏洞中的每一个都可以被利用来允许入侵者未经授权地访问信息系统,从而使信息或那些系统遭受盗窃、操纵或其他形式的攻击。
硬件和软件的缺陷和弱点源于产品开发人员的基本假设,即所有用户都是可以信任的。在信息系统的研究和发展中,安全很少是一个主要考虑因素。此外,竞争的压力迫使公司尽快推出应用程序,往往没有对固有缺陷进行全面测试的好处。行业依赖于用户报告产品缺陷——反过来,行业要么修复缺陷,要么发布产品的新版本。当然,新版本的产品也可能有新的缺陷。
黑客利用这些固有的缺陷,能够在全球传播他们的技术。黑客之间的联系和组织更加紧密,并定期分享特定漏洞的信息。有黑客论坛,包括实体会议和电子会议。黑客们出版精美的杂志,在那里他们分享弱点和技术,交换关于他们个人攻击的“战争”故事。Phrack杂志-自1985年上线-是最受欢迎的黑客杂志之一,向地下黑客提供关于不同计算机操作系统、网络和电话系统的信息。
黑客也经常在被称为互联网中继频道(“IRC”)的内部对话所谓的“聊天”。黑客攻击技巧和技术很容易通过这些会话。此外,在世界各地都有良好的公布黑客约定,在此期间进行面对面的技术交流。
6“硬件”是物理的计算机设备;"软件"是运行计算机应用程序的程序。
技术使黑客更容易利用硬件和软件缺陷。在20世纪80年代初,只有在技术上才能闯入计算机系统的专业知识。不仅是黑客少,而且没有多少目标攻击。
这在过去两年里发生了巨大的变化。计算机的扩散在政府,军事和私营行业中创造了一个新的目标宇宙。更多的人口可以在工作和家中获得电脑。今天购买计算机的绝大多数人拥有捆绑的软件包,可提供互联网接入。
同样,今天更多的人具有比十五年前开发黑客工具的能力。大学,大学和技术学校每年毕业的大量计算机专家,其中许多计算机专家在安全和利用软件计划的方法中受到高度培训。较小的百分比 - 但是,这些人的重要数量可以是开发闯入他人的计算机和网络的工具和技巧。
不幸的是,虽然黑客的工具变得越来越复杂,但它们也变得越来越友好,只需要很少的专业知识就能操作。被称为图形用户界面(Graphical User Interfaces)的点触式点击技术让任何拥有电脑、调制解调器和互联网接入权限的人,都能够侵入世界上任何地方的其他人的电脑。
例如,4月1995年4月在互联网上传播的点和点击软件(如撒旦)(“安全管理员工具”)是一系列的一系列黑客工具,可以由专业知识的专业知识使用。撒旦扫描系统找到与网络相关的安全问题,并报告吗?ReportsReports
漏洞存在于被测试的系统中,但实际上并没有利用它们。虽然撒旦是为系统管理员和安全专业人员分析他们的网络的安全漏洞,潜在的入侵者使用这个工具来识别和攻击政府和私人网络。
rootkit.是黑客允许入侵者获得对网络的root访问权限制定了一系列的公共领域的软件工具。Root权限是最终access--,一个系统管理员。有人用root访问权限可以读取,修改或破坏网络上的任何和所有数据。
互联网协议(“IP”)欺骗是攻击者通过伪装成另一个被目标系统信任的互联网系统来访问某人的系统的一种技术。如果攻击者被受害者系统确定为未经授权的入侵者,这种IP欺骗也可以阻止识别攻击者。
这些工具和技术非常有效。国防信息系统局(DISA)已经执行国防部系统的主动电子“红色团队”超过三年。国防部指挥官可以请求并授权DISA的计算机安全专家团队试图通过电子方式渗透他们的系统。DISA的专家只会使用已经在互联网上广泛使用的黑客攻击软件或技术来攻击国防部系统。7
7此外,在DISA公平的精神,将只使用黑客工具,其中有一个发布的“修复”,并为其DISA曾发表官方警报。
截至1996年5月,Disa能够在互联网上发现的常见攻击工具以65%的系统中攻击到65%8。这也就意味着只有35%,我们的国防部非保密计算机系统的安全性。DISA官员告诉员工的是,65%的数字确实是一个保守的数字。这一数字是针对特定网络的平均1周专用攻击的结果。这些官员报告说,如果给他们更多的时间来攻击目标网络,他们很可能危及系统的95-98%以上。
在软件方面的另一个潜在的漏洞是在使用商用现成软件(“COTS”)。十年前,软件的政府,通常由政府专门开发。政府拥有的编程代码,运行的应用程序。政府也知道什么是在代码中。政府知道什么代码是应该做的,正是它做到了。如果政府需要修改代码,它会进行修改,或雇用承包商修改代码。
今天的环境大不相同。政府不再有很多需要专门程序员代码的大型计算机系统。购买现成的计算机硬件和软件包要划算得多。商业现成软件的问题是,该软件的编程源代码是专有的,通常是政府无法检查的商业秘密。政府只购买使用许可证
8这一统计数字是根据截至1996年5月进行的3万多次电子入侵计算得出的。这些统计数据在过去两年中有所改善。就在小组委员会1996年5月22日的听证会之前,DISA报告说,他们能够攻击国防部系统的成功率为88%。统计数据的改进可能是基于国防部计算机用户的更大意识,也可能是基于DISA漏洞评估协议的改变。
商业软件。购买者知道他们想用软件做什么,但可能不知道软件能做什么。软件包可能包括可能没有文档记录的特性9和潜在的意外。
典型的用户完全依赖于供应商提供的内容。只要软件做了它想做的事情,它就不会受到质疑。如果购买的现成软件包含一个将在某个日期触发的错误,并通过编程改变或破坏系统的数据库,那该怎么办?政府或企业能够恢复丢失的信息吗?不幸的是,这是商业现成产品带来的巨大未知。
也许信息系统最大来源漏洞是使用和管理计算机系统和网络的人。计算机的扩散及其不断增长的易用性使得令人难以置信的复杂系统,其中包含了数百万尚未掌握维持安全或违反安全的后果的数百万人的控制下的非常有价值的信息。
通常情况下,最简单的行为可以创建漏洞。在给任何人谁通过访问飘荡离开的机器;使用容易记忆的密码得到入侵者很容易
9例如,在最近推出并非常受欢迎的微软“Windows 95”操作系统中,该软件包含了一个没有文档记录的功能——在计算机领域被称为“复活节彩蛋”——微软公司直到生产后才意识到这个功能。当使用这个软件应用程序时——工作人员会强调这不是恶意的,只是无聊的——如果你按下某个键组合,微软开发团队的名字就会在你的显示器上滚动。这个未被记录的特性的数据和软件驻留在世界上非常多的计算机系统中,几乎没有人知道它。
访问系统的机会;留下具有众多办公室同事或在计算机上写入的密码也是安全风险。
人们的信任也往往是漏洞的源泉。例如,互联网上的一个流行功能是“聊天室”,其中互联网上任何地方的个人都可以通过文本传输与他人通信。然而,聊天室对参与者的真实身份提供了很少的保证 - 他们可以成为学生,商业人士,计算机爱好者,破坏者或外国情报代理人。然而,个人与陌生人共享信息,这些信息可能包括个人信息以及敏感的业务,或者在某些情况下,分类信息。
美国空军飞行员在波斯尼亚上空被击落就是一个例子。在他康复后,他的一位战斗机飞行员同事在网上发布了一份非常详细的被击落飞行员康复情况。在开放的互联网论坛上提供的许多信息可能是机密的,或者至少是非常敏感的。这名战斗机飞行员的电子邮件被阅读和转发了成千上万份,包括新闻媒体。
个人的信任本性也让他们对一种被称为社会工程的黑客技术开放。社会工程涉及黑客冒充授权用户、客户、供应商或其他人,说服不知情的授权员工泄露关键信息,如登录名和密码。尽管这种技术非常“低技术”,但它仍然为黑客们带来好处。社会工程利用了安全培训和员工意识的缺乏以及对客户服务的重视。这是计算机世界中老式的“信心游戏”。
另一个重要的漏洞是运行系统的管理人员无法检测到入侵。在DISA执行的电子红队攻击的国防部系统中,只有4%的系统经理或用户实际检测到入侵。系统管理员无法检测到这些类型的攻击的主要原因是政府和私人行业中缺乏安全文化。然而,即使是那些重视安全的实体,也因为缺乏足够的工具来帮助系统管理员和计算机安全专业人员发现这些无形的犯罪而受到阻碍。
这并检测通过DISA专家电子入侵美国国防部的系统管理员的4%,只有27%的4%,报侵入到适当的安全或执法机构。为何不从不知道在哪里,或者谁在被不针对报告因尴尬报告报告的范围。指挥官都不愿意,生怕它可能自己的职业生涯产生负面影响报案。这也是系统管理员的真实。
虽然这些统计数据很令人担忧,但国防部正在积极识别并试图解决其系统性缺陷。其他代理商没有红色的合作活动或非常有限的计划来解决自己的漏洞。10职员进行访谈
10国家标准与技术研究所(NIST)最近收到了400万美元的“创新”授予,以便在未来建立一个非国防部政府内的事件响应小组,作为其职责的一部分,行为脆弱性评估政府计算机。不幸的是,团队的响应方面将在“按照”的基础上“支付”,因此政府机构将在预算中支付其服务。这可能是政府机构的抑制因素,使其入侵NIST。此外,鉴于大量的计算机系统和网络,授权将有意义地解决这个问题是值得怀疑的。
许多政府机构的计算机安全人员。这些机构大多引用了DISA的统计数据,但很少有机构进行自己的脆弱性评估。许多接受采访的计算机安全人员来自非国防部机构和部门,他们认为红队是必要的,但通常没有资源来执行他们自己的漏洞评估。
计算机安全专业人员缺乏资源来解决网络脆弱性的系统性问题。在许多政府组织中,高级管理人员通常不了解,因此也不能承认他们的信息系统的弱点。随着政府规模的缩减和私营部门努力保持商业竞争力,将现有的稀缺资源重新安排优先级或重新分配到一个未被定义或重视的问题上是天生的困难。一位中层信息安全专业人士的坦率评估是,如果没有“冒烟的键盘”,管理人员就不会做出艰难的选择,从其他领域或程序中获取资源,应用于计算机安全。
例如,目前在政府中没有计算机安全专家职业领域。人员最常被分配计算机安全的职责作为额外的责任,而不是作为全职计算机安全专家。可以将计算机安全性的额外义务分配给非计算机专家。
一般来说,计算机安全人员在执行任务之前几乎没有计算机安全经验,并且在任职期间接受的计算机安全培训非常少。工作人员发现,秘书和行政人员被分配到办公室执行这些任务,因为他们的计算机专业知识虽然有限,但比其他人都强。通常,在做了两到三年的计算机安全专家后,这个任务会轮换给另一个人。这个新任命
通常没有计算机安全性的任何背景。政府继续旋转这些额外职责,并完全失去了它制定的制度知识。
我们的政府创造了一种不利于促进安全的气候。显然,深入的知识和对非常技术主题的理解是信息安全官的必要条件。不幸的是,专门从事缺乏职业道路的主题是员工的抑制因素。如果政府雇员希望留在这些专长中,他们必须接受促进或从政府转向私营部门的几乎前景,私营部门愿意奖励该领域的专家,以更大的货币补偿。最终结果是从政府到私营部门的专家的脑流失,然后将同一专家签订并以更高的价格向政府签订,如果政府首先给予他们职业发展。
在执法领域,工作人员观察到,几乎所有的执法机构都从其机构内部招募刑事调查人员,然后试图教他们计算机技术。一般情况下,刑事调查员被指派从事计算机犯罪调查工作的时间是2到3年,而不是作为永久的职业选择。其结果是,几乎不了解企业知识的人员不断流失,而缺乏“计算机”专业知识的调查人员也层出不穷。
与安全人员类似,如果计算机犯罪调查员被允许留在专业领域,可能会对职业发展产生负面影响,因为执法部门更喜欢多面手而不是专家。
根据工作人员与私营机构的电脑保安专家进行的访谈,政府以外的地方也普遍存在同样的问题。私营部门的计算机安全人员一般在公司和管理决策中没有强大的发言权。在私营部门,计算机安全专家与他们公司的商业领袖意见不一。一般来说,计算机安全功能隐藏在企业的管理计算机支持领域。自动化和连接系统的压力几乎总是优先于保护的需要。
国会工作人员自己对一些联邦机构的审查证实了其中的许多漏洞。例如,工作人员向各机构要求提供负责计算机安全的个人或办公室的名称。大多数机构回应说,他们不知道那个人是谁;或者他们不知道是否存在这样的职位;或者这个职位分散在许多部门。
例如,工作人员发现,司法部虽然关注其网络的安全,采取了分散的组织计算机安全的方法。在Doj中,每个组件都负责自己的安全性。很少有组件都有全日制安全管理员 - 通常这项任务被分配为组件内秘书的额外责任。这部分是由于资源约束。通常,安全管理员在GS-7的范围内在GS-11的范围内开槽。根据部门官员的说法吸引了优质申请人,因此成为一个问题。一些Doj官员提出的一个问题是,与其他网络和互联网的“连接压力”将增加其漏洞。
国务院在计算机安全方面缺乏明确的权威,这一点尤为严重。最近,监察长(IG)对该部非机密主机安全系统的审计发现,该部基本上没有安全计划。因此,检察长发现,司法部甚至无法可靠地知道信息是否已被泄露。IG还发现,在处理计算机安全的权力、责任、问责和政策方面,部门高级管理层缺乏参与,导致安全管理不完整和不可靠。
监察长官员还告诉《纽约时报》,国务院系统面临的一个重大威胁可能来自将计算机系统管理外包给外国雇员。对于外国职位(“严重威胁职位”除外),该部主要由于薪金限制而雇用当地国民担任计算机系统管理员。一旦被聘用,这些管理员就可以无限制地访问该职位的非机密计算机系统。例如,在曼谷,当地的系统管理员设计了自己的软件,大使馆雇员在他们的计算机系统上使用。它为所有人提供了用户特权,而不管他们是否需要访问。
在国防部,入侵和攻击非机密但敏感的网络的问题正在增长,估计每年发生数万起成功的计算机攻击。11DISA的存在和其积极的漏洞评估计划肯定的承诺,一个特别令人不安的评估这一威胁的国防部的治疗提出了白宫国家安全委员会在其报告中3230号决议,1997财年国防授权法案。
新闻部在保护其信息系统方面投入的资源严重不足。
这个问题是一个熟悉的一个。尽管业界普遍认同的问题,有没有志愿者提供资金来纠正它。高级DOD领导不愿意强加解决一个非传统的威胁,特别是当职能经理和信息系统开发商目前的计划,将需要从自己的预算资金外,所以继承权难以权衡。换句话说,内国防部的军事服务,以及物流,医疗,人才,交通,金融的管理人员,以及其他功能迄今选择以最大化略,以确保在满足最低限度的关键需求的能力,而不是牺牲功能战时条件。
因此,在过去两年里,国防部领导层只增加了有限的信息安全资源。资金数额不是基于对需求的严格分析,资金也没有因为倡导者没有提出增加资源的有力理由而受到限制。相反,拨款似乎是根据在正常的预算审查程序之后,从指挥、控制和通信的总预算中很容易提取的资金数额决定的。
潜在的后果是,在重大地区冲突中,国防部可能无法产生、部署和维持军事力量
11政府问责局最近的报告,信息安全:国防部的计算机攻击造成越来越大的风险,1996年5月,GAO / AIMD-96-84,在参议员萨姆·纳恩和约翰·格伦的要求编写,提供了面对国防部挑战的出色发言。
信息战攻击由联网计算机控制的关键支持功能。
上述语言可能夸大了国防部的忽视程度。工作人员会注意到,在许多方面,国防部自我发起的审查是我们欣赏他们需要更有意义地解决这个问题的原因。
在好莱坞电影《网络》中,黑客通过电子手段侵入贝塞斯达海军医疗中心(BNMC)的计算机网络,获取国防部长的医疗记录,并将其更改为艾滋病毒阳性。参谋人员联系了贝塞斯达的一位高级海军军官,评估BNMC的实际弱点。该官员表示,尽管一些管理人员认为保护中心的医疗档案不是当务之急,因为他们无法想象为什么会有人想要侵入这些档案,但她自己对BNMC的计算机系统进行了脆弱性评估。她发现,她——几乎任何人——都可以闯入BNMC,访问并更改我们政府领导人的医疗记录。从那时起,BNMC积极主动地解决了他们记录的这一漏洞。
工作人员还采访了联邦航空管理局(FAA)的官员,他表示他们非常有信心,他们的系统与入侵相对安全。他们解释说,这不是,因为他们已经制定了一个健康的安全计划。相反,它们表明它是因为它们的飞机控制系统如此夸张并且由这么多的单独和不相容的系统组成,它们更耐用于现代黑客工具。此外,因为当前系统,尤其是电源是不可靠的,因此在没有计算机的情况下准备空中交通管制员。一旦加盟升级系统,他们将更脆弱:首先,因为他们的
操作系统将与大多数其它计算机系统,包括那些由使用黑客兼容;第二,因为控制器可能变得习惯于而不计算机支持提供指导。
政府内部的安全人员经常提到连接的“压力”,认为这是对未来的重大关切和挑战。这些专业人士中有许多人并不是被当前的漏洞所困扰,而是被预期中的漏洞所困扰,这些漏洞会随着与互联网和其他网络的更紧密的相互连接而出现。