【#美军测试新战场通信系统时漏洞百出#】美国陆军战场通信网络急需的现代化升级工作,目前大多由硅谷出身的公司负责。
当地时间10月3日,路透社披露的一份美国陆军内部备忘录写到,由军用无人机及软件制造商安杜里尔(Anduril)主导研发、数据分析公司帕兰提尔(Palantir)作为主要合作方提供支持的战场通信系统,存在大量“基础性安全”问题与漏洞,应被归为“极高风险”等级。
据报道,Anduril近来宣称,在赢得合同仅八周后,其研发的“下一代指挥与控制通信平台”(NGC2)原型机便已在战场测试中投入使用。据介绍,这份政府合同价值约1亿美元,合作方包括Palantir、微软以及多家小型承包商。
然而,负责NGC2原型机授权事宜的美国陆军首席技术官加布里埃尔·基乌利(Gabriele Chiulli),在写于9月5日的内部备忘录指出,其对NGC2初始产品的安全评价极为悲观。
NGC2的核心功能是实现士兵、传感器、车辆与指挥官之间的实时数据互联。但这份聚焦于系统安全状况的备忘录称,“我们无法控制谁能看到哪些信息,无法掌握用户正在进行的操作,也无法验证软件本身是否安全。”
基乌利写道,“鉴于该平台当前的安全状况,以及其搭载的第三方应用程序,敌方极有可能获得对该平台的持续且无法被检测的访问权限,因此该系统必须被视为极高风险对象。”
路透社引述其获得的内部文件称,备忘录还指出,该系统允许任何获得授权的用户访问所有应用程序和数据,无论用户的安全许可等级或实际作战需求如何。因此备忘录强调,“任何用户都有可能访问并滥用敏感的”机密信息,且系统没有日志记录功能来追踪用户的操作行为。
备忘录还着重指出了其他缺陷,比如系统搭载的第三方应用程序均未通过美国陆军的安全评估。其中一款应用程序被检测出25个高严重性代码漏洞。另有三款正在审核的应用程序,每款都包含超过200个需要评估的漏洞。
另据美媒报道,基乌利还在这份文件中措辞严厉地写道,“(美国)陆军缺乏确保平台安全性与完整性所需的可见性及管控能力。目前似乎存在一种倾向:急于将功能引入系统,却缺乏实际的监督机制或执行流程,这进一步加剧了系统的风险。”
据路透社报道,这份备忘录最早由美国军事媒体“Breaking Defense”披露,随即再次引发关于硅谷“快速行动、打破常规”的理念不适用于研发关键军事装备的批评。周五,Palantir的股价收盘下跌7.5%。Anduril目前尚未上市。
对此,Anduril回应称,备忘录所提出的问题已在“正常的开发流程”中得到解决。该公司在发送给路透社的一份声明中表示,“这份报告反映的是之前的情况,并非该项目当前的实际状态。”
Palantir的一位发言人则称,在该公司的平台中“没有发现任何漏洞”。
周五接受路透社采访时,基乌利的上级、美国陆军首席信息官莱昂内尔·加西加(Leonel Garciga)解释称,许多问题已在数周或数天内得到解决。
“据我所知,目前仅剩一款应用程序仍存在部分漏洞,相关团队正在着手修复。”他补充称,与供应商进行坦诚沟通至关重要。
加西加还透露,下周,NGC2系统所依赖的Palantir联邦云服务有望获得美国陆军的批准,得到一项名为“持续运行授权”(continuous authority to operate)的关键许可,从而能更快速地部署软件更新。
