अध्ययन: यूएस वायु यातायात नियंत्रण साइबरटाक के लिए कमजोर

यूएस अमेरिकी परिवहन विभाग के एक लेखा विभाग के अनुसार, देश भर में विमानन प्राधिकरणों द्वारा संचालित असुरक्षित वेब अनुप्रयोगों के उनके लिंक के कारण हवाई यातायात नियंत्रण प्रणाली पर हमले का उच्च जोखिम है।

प्रवेश परीक्षकों को 70 वेब अनुप्रयोगों में 763 उच्च जोखिम वाली भेद्यता मिली रिपोर्ट में कहा गया है कि यूएस फेडरल एविएशन एडमिनिस्ट्रेशन (एफएए) के भीतर सार्वजनिक हवाई यातायात नियंत्रण (एटीसी) सिस्टम के लिए इस्तेमाल किए जाने वाले सार्वजनिक और अन्य अनुप्रयोगों के लिए पायलटों और नियंत्रकों के लिए संचार आवृत्तियों को वितरित करने जैसे कार्यों के लिए उपयोग किया जाता है।

एक उच्च जोखिम भेद्यता एक ऐसे व्यक्ति के रूप में वर्गीकृत किया जाता है जहां एक हमलावर कंप्यूटर पर नियंत्रण ले सकता है, सिस्टम संशोधित कर सकता है या डेटा चोरी कर सकता है। रिपोर्ट में कहा गया है कि टेस्टर्स को 504 मध्यम जोखिम और 2,5 9 0 कम जोखिम वाली भेद्यताएं भी मिलीं, जैसे कि कमजोर पासवर्ड और असुरक्षित महत्वपूर्ण फाइल फ़ोल्डरों का उपयोग।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

रिपोर्ट में निष्कर्ष निकाला गया, "हमारी राय में, जब तक प्रभावी कार्रवाई नहीं की जाती है, तब तक यह बात हो सकती है कि अगर एटीसी सिस्टम एटीसी परिचालनों को गंभीर नुकसान पहुंचाते हैं तो हमले का सामना करना पड़ता है।" 99

एफएए अधिकारी तुरंत नहीं पहुँचा जाएं। लेकिन एजेंसी ने रिपोर्ट में समस्याओं को स्वीकार किया है और वेब अनुप्रयोगों के अधिक कठोर पैचिंग और घुसपैठ-पहचान प्रणाली के उपयोग में वृद्धि के लिए योजना बनाई है।

एफएए इंटरनेट पर जानकारी वितरित करने के लिए वाणिज्यिक सॉफ्टवेयर प्रोग्राम का उपयोग करता है, लेकिन एजेंसी विफल रही है रिपोर्ट के लिए आवश्यक पर्याप्त घुसपैठ-पहचान प्रणाली स्थापित करने के लिए, रिपोर्ट में कहा गया है। उपयोग में वेब एप्लिकेशन सिस्टम अक्सर अन्य संवेदनशील प्रणालियों और अन्य जगहों पर संग्रहीत जानकारी के सामने के दरवाजे के रूप में कार्य करते हैं।

देश की एटीसी प्रणाली सैकड़ों सुविधाओं पर फैली हुई है, लेकिन घुसपैठ-पहचान प्रणाली केवल 11 पर स्थापित की गई है।

रिपोर्ट में कहा गया है, "एटीसी सुविधाओं पर साइबर घटनाओं की प्रभावी ढंग से निगरानी नहीं की गई थी।" "संभावित साइबर घटनाओं की पहचान करने के लिए, एफएए को सुरक्षा विश्लेषणों के लिए महत्वपूर्ण जानकारी एकत्र करने के लिए प्रमुख स्थानों पर स्थापित आईडीएस सेंसर की आवश्यकता है।" 99

800 से अधिक कंप्यूटर से संबंधित सुरक्षा घटनाओं की रिपोर्ट 2008 में वायु यातायात संगठन (एटीओ) में हुई थी, एफएए का हिस्सा जो प्रति दिन यूएस एयर स्पेस के माध्यम से चल रहे कुछ 50,000 विमानों के प्रबंधन को संभालता है। रिपोर्ट के मुताबिक, साल के अंत तक, उन घटनाओं में से 150 के पीछे की समस्याओं को अभी भी तय नहीं किया गया है, "जिसमें गंभीर घटनाएं शामिल हैं, जिनमें हैकर्स एटीओ कंप्यूटरों पर नियंत्रण ले सकते हैं।"

हैकर्स पहले से ही नुकसान कर चुके हैं। फरवरी में, हमलावरों ने एक कमजोर वेब एप्लिकेशन के माध्यम से आंतरिक एफएए डेटाबेस में प्रवेश प्राप्त किया, जिसमें नाम, जन्म तिथि, सामाजिक सुरक्षा संख्या, वेतन ग्रेड और कुछ 48,000 वर्तमान और पूर्व एजेंसी कर्मचारियों के लिए पते का भुगतान किया गया।

अगस्त 2008 में, हैकर समझौता रिपोर्ट में कहा गया है कि महत्वपूर्ण नेटवर्क सर्वर और उन्हें बंद कर सकते थे, "जो एफएए के मिशन-सपोर्ट नेटवर्क में गंभीर व्यवधान पैदा कर सकता था।"

लेखा परीक्षा के दौरान, सलाहकार केपीएमजी और अमेरिकी परिवहन विभाग के निरीक्षक कार्यालय रिपोर्ट में कहा गया है कि ट्रैफिक फ्लो मैनेजमेंट इंफ्रास्ट्रक्चर सिस्टम, जुनाऊ एविएशन वेदर सिस्टम और अल्बुकर्क एयर ट्रैफिक कंट्रोल टॉवर से जुड़े कंप्यूटरों को सामान्य रूप से अनधिकृत पहुंच मिली है।

गलत कॉन्फ़िगर किए गए वेब अनुप्रयोगों के कारण पहुंच संभव थी, जिनमें से कुछ अप्रचलित थे सॉफ्टवेयर विक्रेताओं से सार्वजनिक रूप से उपलब्ध फिक्स के बावजूद, यह कहा।