Az erre hivatott felügyeleti hatóság (US Department of Defense Inspector General – DOD IG) már áprilisban elkészítette felülvizsgálati jelentését, amelynek tárgya az volt, hogy véletlenszerűen megvizsgáltak öt olyan amerikai támaszpontot, ahol az USA védelmi rendszerének részeként ballisztikus rakéták indítására van lehetőség (Ballistic Missile Defense System – BMDS). A jelentést a nagyobb nyilvánosság számára a múlt hét végén tették elérhetővé, és ebből az derül ki, hogy informatikai szempontból felfoghatatlan felelőtlenségeket találtak: az adatáramlás nincs titkosítva, nincs vírusvédelmi rendszer telepítve, nincs kétfaktoros autentikáció, illetve egyes részrendszerekben közel harminc éve ismert, javítatlan sebezhetőségekre akadtak rá.

Mivel ez a rendszer, a BMDS egyik fő funkciója a támadások elhárítása, az ilyen hibák, vagyis hogy az adatáramlást, az adatfeldolgozást és az adattárolás végző hálózatok gyakorlatilag védtelenek, kétségessé tehetik a működését – fogalmaznak a jelentés írói.

Az auditorok a legproblémásabbnak a kétfaktoros autentikáció hiányát tartják: pl. a védelmi rendszerbe belépő új alkalmazott olyan jogosultságokat kap, mellyel egyszerűen a rakétarendszerhez is hozzáférhet jelszavával és azonosítójával – a szabályzat szerint csak két hét elteltével kell áttérni a kétfaktoros beléptetésre. Ám a vizsgált öt bázis közül háromban a szakértők több olyan felhasználót is találtak, akik az előírás ellenére sem kapcsolták be a többfaktoros azonosítást – egy olyan alkalmazottra is ráakadtak, aki hét éven keresztül használta az egyszerű jelszó/azonosító párost, illetve találtak egy olyan alrendszert is, ahol még soha nem vezették be a többfaktoros azonosítás támogatását.

Hogy ez miért is olyan nagy gond? Egy ilyen kritikus rendszernél folyamatosak az alkalmazottak elleni célzott adathalász támadások e-mail fiókokon és nyilvános weboldalakon keresztül. Amennyiben a támadó sikerrel jár, és valamilyen módon megszerzi a jelszó/azonosító párost, akkor ezzel tovább tud lépni, be tud jutni a védett rendszerekbe is, ha azok az internetről elérhetőek (néha, trükkös megoldásokkal akkor is, ha elszeparált rendszerekről van szó).

A következő nagy probléma, melyet a riport feltárt, az, hogy a biztonsági frissítéseket hanyagul vagy egyáltalán nem végezték el – három helyen teljességgel hiányoztak a biztonsági update-ek –, olyan is akadt, ahol utoljára az 1990-es években frissítettek utoljára.

Az szintén súlyos gond a jelentés szerint, hogy a szigorúan védendő szerverek fizikailag sincsenek biztosítva: két helyen találták azt, hogy a rackek könnyen hozzáférhetőek és védelem nélküliek voltak – vagyis ha odáig eljut valaki (például csak egy látogatójegy birtokában), könnyedén be tud lépni, elhelyezhet egy fertőzött pendrive-ot stb. Ezzel szembesítve az üzemeltetőket, egy helyen azt mondták, hogy nem aggódnak, mivel nagyon erős szabályok határozzák meg, hogy ki léphet az adatközpontokba, így ez nem probléma.

Egy további biztonsági hiányosság, hogy amikor – ez időnként szükségszerű – az üzemeltetők adatokat hordoztak mobil adattárolókon vagy más módon a leválasztott rendszerek között, ezeken az adattárolókon nem alkalmaztak titkosítást. Ezzel szemben azzal védekeztek az üzemeltetők, hogy: régi rendszereket használnak, nincs technológiai lehetőségük a modern titkosítások használatára, arra meg nincs forrásuk, hogy megvegyék a legjobb szoftvereket – ráadásul ezek közül sok nem is kompatibilis a Védelmi Minisztérium által használt titkosítási rendszerrel. Az csak hab a tortán, hogy egy helyen például azt hallották az auditorok, hogy nincs is olyan rendszerük, mely monitorozná, hogy melyik alkalmazott mikor, hol és hogyan töltött le adatokat.

Ezt még csak fokozza, hogy az egyik ellenőrzött helyen az üzemeltetők nem telepítettek behatolás-ellenőrző rendszert, vagyis egy olyat, mely igyekszik megelőzni a támadásokat, illetve regisztrálja azokat – tehát egyéb körülmények fennállása esetén a rendszergazdák észre sem veszik, ha támadás zajlik ellenük. Az itteni felelősök újra csak azt mondták, hogy ők már jó ideje kérelmezték a központtól az ilyen szoftver telepítését, ám a kérés a bürokrácia útvesztőiben elveszett.

Arról már nem is érdemes beszélni, hogy jelentős hiányosságokat találtak a jogosultságkezelés adminisztrációjában: mind az öt helyszínre jellemző volt, hogy a felügyelők nem tudták követni, visszanézni vagy számon kérni, hogy ki és miért fért hozzá bizonyos adatokhoz, rendszerhez, hálózathoz.

És slusszpoénként: a bázisokon úgy telepítették a kamerákat, hogy azoknak számtalan vakfoltjuk volt – így egy támadó (akár egy akciófilmben) ügyesen sakkozva észrevétlenül juthat el egy nem védett szerverig.

Mindezt fokozza, hogy az ellenőrzés során azt vették észre, hogy rengeteg digitálisan zárt ajtó nyitva volt a zárt jelzés ellenére, sok ajtón nem is volt zár – sőt azt is tapasztalhatták, hogy időnként a belépésre jogosító kártya hiányában is be tudtak jutni a szigorúan védett intézményekbe.