Falle nei sistemi del Pentagono, in tutte le armi di nuova generazione. Gli hacker stanno già sfruttando queste vulnerabilità? O lo faranno molto presto?
I sistemi del Pentagono sono a rischio di cyber attacchi, che potrebbero “facilmente” sfruttarne le vulnerabilità con conseguenze geopolitiche disastrose, ed il Pentagono stesso è a conoscenza della mancanza di sicurezza dei suoi server e dispositivi, ma non è ancora corso ai ripari, a distanza di mesi dalle precedenti segnalazioni al Ministero della Difesa. Questo quanto emerge da un rapporto federale dopo un controllo eseguito tra il settembre 2017 e l’ottobre 2018. Il documento non nomina i potenziali pirati informatici, ma indica che “attori di minacce avanzate” sono consapevoli delle vulnerabilità e “hanno unità ben finanziate che mirano a posizionarsi per minare potenzialmente le capacità degli USA”.
Un attacco all’infrastruttura del Pentagono avrebbe delle ripercussioni gravissime: figure esterne potrebbero lanciare attacchi tramite i sistemi governativi attribuendoli quindi al Dipartimento della Difesa degli Stati Uniti d’America.
Il rapporto federale del Government Accountability Office
Sistemi di puntamento, controlli della manutenzione, comunicazioni: le armi di nuova generazione sono infarcite di tecnologia e preoccuparsi di quanto siano efficaci i sistemi di protezione dovrebbe essere una priorità. Qualcuno, tuttavia, sembra abbia sottovalutato la questione e ora gli esperti dell’esercito USA si trovano a fare i conti con un report dagli esiti sconcertanti.
La verifica dei sistemi di sicurezza utilizzati dal Pentagono per la protezione dei suoi sistemi è avvenuta attraverso una simulazione di attacco portata da un gruppo di esaminatori, nei panni degli hacker, che hanno provato ad attaccare i sistemi informatici dei nuovi armamenti, tentato in ogni modo di superare le protezioni per verificarne quindi il livello di sicurezza. Compito che, a quanto si legge nel report, non è stato poi così arduo. Il team sarebbe riuscito a raggiungere gli obiettivi grazie ad una serie di vulnerabilità piuttosto rilevanti, usando tecniche e strumenti relativamente semplici, prendendo il controllo dei sistemi e agendo senza essere rilevati.
Mancanza di consapevolezza alla base delle vulnerabilità
Scarsa sicurezza delle password poiché non modificate da quelle di impostazione di fabbrica, presenza di sistemi di comunicazione non protetti da crittografia, vulnerabilità note ma mai risolte: questi sono i maggiori problemi riscontrati dal team e che affliggono alcuni dei più recenti sistemi per lo sviluppo di armamenti del Dipartimento della Difesa americana, secondo il Government Accountability Office (GAO) che le ha presentate nel recente report.
Nel rapporto vengono citati alcuni esempi pratici di violazioni che hanno avuto successo: ad esempio, un tester ha potuto indovinare una password amministratore di sistema in nove secondi, in quanto venivano utilizzati software commerciali o open source senza però cambiare la password predefinita quando il software era installato. I tester potevano talvolta assumere il pieno controllo di queste armi: “In un caso, un team di test di due persone ha avuto bisogno di solo un’ora per ottenere il primo accesso ad un sistema d’arma e un giorno per avere il pieno controllo del sistema utilizzato”. In un’altra occasione, i pentester (penetration tester) sarebbero riusciti a violare il terminale dell’operatore, assistendo in tempo reale a ciò che vedeva e avendo anche la possibilità di manipolare i sistemi. Provocando infine un crash di sistema.
E non va meglio per quanto riguarda la protezione dei dati sensibili: il bilancio degli attacchi simulati è risultato devastante in quanto il Red Team è riuscito a copiare, cancellare, modificare dati e, in un caso, a sottrarre 100GB di informazioni riservate.
Necessario aumentare il livello di attenzione al rischio
Il GAO ha esaminato i dati dei test di sicurezza del Pentagono sui sistemi d’arma in fase di sviluppo e ha intervistato i funzionari responsabili della sicurezza informatica, analizzando come i sistemi siano protetti e come rispondano agli attacchi, a seguito di una richiesta di rapporto del Comitato dei servizi per gli armamenti del Senato: uno dei passi procedurali richiesti dal Congresso USA per confermare il finanziamento da 1.660 miliardi, chiesto per lo sviluppo delle armi di nuova generazione.
Nonostante l’importanza sempre crescente di computer e reti, afferma il GAO, il Pentagono ha solo recentemente dato la priorità alla sicurezza informatica dei suoi programmi di sviluppo di nuovi sistemi d’arma, dichiarando inoltre che i test di hacking e cyber del Dipartimento della Difesa sono stati “limitati per portata e sofisticazione”. Uno dei problemi che affligge il Pentagono, sempre secondo il GAO, è la perdita di personale esperto in cybersicurezza, in grado di trovare vulnerabilità e rilevare minacce avanzate, sempre più attratto dalle offerte più redditizie del settore privato.
Secondo il rapporto molti degli ufficiali dei vari programmi di armamento – a cui è stato chiesto un’analisi dei punti deboli – hanno affermato di ritenere i propri sistemi sicuri, compresi alcuni con programmi in cui non vi era un grado minimo di sicurezza informatica, ammettendo di essere rimasti sconcertati dai risultati dei test. Anche per questo motivo, il GAO stima che le criticità riscontrate rappresentino probabilmente una piccola parte dei rischi reali nei suoi sistemi. I test omettono intere categorie di potenziali aree problematiche: come i sistemi di controllo industriale, i dispositivi non Internet e le parti contraffatte.