Σύμφωνα με τον γενικό επιθεωρητή του Πενταγώνου, οι υπάλληλοι του αμερικανικού Υπουργείου Άμυνας (DoD) αγόρασαν πέρυσι ηλεκτρονικά προϊόντα αξίας άνω των 32,8 εκατομμυρίων δολαρίων. Το πρόβλημα είναι ότι αυτά τα προϊόντα περιείχαν ευπάθειες ασφαλείας, οι οποίες ήταν γνωστές.
Οι αγορές έγιναν από υπαλλήλους του Στρατού και της Πολεμικής Αεροπορίας. Ο Γενικός Επιθεωρητής του DOD πιστεύει ότι ο ευάλωτος εξοπλισμός θα μπορούσε να χρησιμοποιηθεί από αντιπάλους των ΗΠΑ.
Σύμφωνα με την έκθεση, τα προϊόντα με τις ευπάθειες ήταν: εκτυπωτές Lexmark, κάμερες GoPro και υπολογιστές Lenovo.
Αγορές από τη LEXMARK
Ο στρατός και η αεροπορία αγόρασαν πάνω από 8.000 εκτυπωτές Lexmark, αξίας 30 εκατομμυρίων δολαρίων.
Η αγορά εκτυπωτών από την Lexmark ήταν ένα μεγάλο λάθος, σύμφωνα με τους ελεγκτές, καθώς μια έκθεση του Κογκρέσου το 2018 αποκάλυψε ότι υπάρχουν ευπάθειες στις συσκευές της Lexmark και υποστήριξε ότι η εταιρεία συνδεόταν με τον κινεζικό στρατό και τα πυρηνικά και κατασκοπευτικά προγράμματα της χώρας.
Επιπλέον, οι εκτυπωτές της Lexmark είχαν βρεθεί με περισσότερες από 20 ευπάθειες στο παρελθόν. Οι ευπάθειες επηρέαζαν την αποθήκευση και τη μετάδοση πληροφοριών, ενώ μπορούσαν να δώσουν σε έναν επιτιθέμενο τη δυνατότητα να εκτελέσει κακόβουλο κώδικα.
Επιπλέον, οι ευπάθειες θα μπορούσαν να επιτρέψουν σε hackers να χρησιμοποιήσουν απομακρυσμένα έναν συνδεδεμένο εκτυπωτή της Lexmark για κατασκοπευτικούς σκοπούς ή για την πραγματοποίηση μιας denial of service επίθεσης σε δίκτυο του Υπουργείου Άμυνας.
Ωστόσο, ο Brad Clay, Αντιπρόεδρος και Γενικός Διευθυντής Πληροφοριών της Lexmark, εξέφρασε την απογοήτευση και τη διαφωνία του σχετικά με αυτά που ειπώθηκαν για τη Lexmark. Επιπλέον είπε ότι η εταιρεία δεν έχει καμία σχέση με την κινεζική κυβέρνηση.
Αγορές από τη GOPRO
Επιπλέον, ο στρατός και η Πολεμική Αεροπορία αγόρασαν 117 action κάμερες της GoPro, που κόστισαν περίπου 98.000 δολάρια.
Ωστόσο, οι ελεγκτές ανέφεραν ότι οι κάμερες έχουν ευπάθειες που θα μπορούσαν να επιτρέψουν σε έναν απομακρυσμένο εισβολέα να αποκτήσει πρόσβαση σε αποθηκευμένα credentials δικτύου και σε live video streams.
“Με την εκμετάλλευση αυτών των ευπαθειών, ένας κακόβουλος hacker θα μπορούσε να δει τα βίντεο, να κάνει εγγραφή ή να τραβήξει φωτογραφίες χωρίς τη γνώση του χρήστη”.
Αγορές από τη LENOVO
Το μεγαλύτερο ζήτημα ασφαλείας έχει να κάνει με τους υπολογιστές της Lenovo. Η κυβέρνηση των ΗΠΑ έχει προειδοποιήσει σχετικά με τα προβλήματα αυτών των συσκευών.
Για παράδειγμα, το 2006, το Υπουργείο Εξωτερικών απαγόρευσε τη χρήση υπολογιστών Lenovo στα δίκτυά του, καθώς υπήρξαν αναφορές, που υποστήριζαν ότι οι υπολογιστές Lenovo κατασκευάστηκαν με hardware ή software που χρησιμοποιείται για κατασκοπεία.
Το 2015, το Υπουργείο Εσωτερικής Ασφάλειας ανέφερε ότι οι υπολογιστές της Lenovo είχαν προ-εγκατεστημένο ένα spyware, καθώς και πολλές κρίσιμες ευπάθειες.
Το 2016, η Διεύθυνση Μυστικών Υπηρεσιών του Γενικού Επιτελείου εξέδωσε επίσης δική της προειδοποίηση σχετικά με τη Lenovo και τον κίνδυνο κατασκοπείας από τις συσκευές της.
Ωστόσο, παρά τις προειδοποιήσεις, ο στρατός αγόρασε 195 προϊόντα Lenovo το 2018, αξίας 268.000 δολαρίων και η Πολεμική Αεροπορία αγόρασε άλλα 1.378 προϊόντα της Lenovo για $ 1.9 εκατομμύρια.
Το Υπουργείο Άμυνας αγνόησε τις προηγούμενες προειδοποιήσεις
Το Υπουργείο Άμυνας αγνόησε τις προειδοποιήσεις για την ασφάλεια στον κυβερνοχώρο και αγόρασε προϊόντα από αυτές τις εταιρείες.
Για παράδειγμα, οι εκτυπωτές της Lexmark ήταν ακόμα διαθέσιμοι για αγορά από το Ναυτικό Σώμα μέχρι και το Φεβρουάριο του 2019, παρά την προειδοποίηση της αμερικανικής κυβέρνησης να μην γίνει αγορά αυτών των προϊόντων.
Το Υπουργείο Άμυνας δεν έχει φροντίσει για τη διαχείριση κινδύνων στον κυβερνοχώρο.
Το Εθνικό Κέντρο Κατασκοπείας και Ασφάλειας (NCSC) προσπάθησε τον Απρίλιο του 2019 να «αναγκάσει» τις κρατικές υπηρεσίες και τον ιδιωτικό τομέα να αναθεωρήσουν τις αλυσίδες εφοδιασμού τους. Θα πρέπει να δίνεται μεγάλη προσοχή στον εξοπλισμό και το λογισμικό που αγοράζουν, ειδικά από γνωστούς αντιπάλους των ΗΠΑ, όπως η Κίνα.
Με τις πολιτικές εντάσεις μεταξύ Κίνας-ΗΠΑ, οι κυβερνητικοί αξιωματούχοι της Αμερικής φοβούνται ότι ένα συμβάν μεταξύ των δύο χωρών θα μπορούσε να έχει καταστροφικές επιπτώσεις στην αμερικανική υποδομή πληροφορικής, η οποία είναι γεμάτη με εξοπλισμό από την Κίνα.
