I sistemi di armi sviluppati dal Dipartimento della Difesa degli Stati Uniti sono vulnerabili agli attacchi informatici, il che significa che alcuni malfattori con capacità di hacking potrebbero potenzialmente assumere il controllo di tali armi senza essere notato, secondo un nuovo rapporto del Government Accountability Office (GAO) degli Stati Uniti, rilasciato ottobre 9.
E il DOD sembrava ignaro delle minacce: anche se i test condotti dal DOD stesso hanno mostrato tali vulnerabilità, i funzionari del dipartimento hanno detto al GAO che "credevano che i loro sistemi fossero sicuri e hanno scontato alcuni risultati dei test come irrealistici", secondo il rapporto, che si basa su un'analisi dei test, delle politiche e delle linee guida sulla sicurezza informatica DOD, nonché sulle interviste DOD.
"Usando strumenti e tecniche relativamente semplici, i tester sono stati in grado di assumere il controllo dei sistemi e di operare in gran parte senza essere individuati, in parte a causa di problemi di base come una cattiva gestione delle password e comunicazioni non crittografate", afferma il rapporto.
In effetti, un team di test ha violato la password di un amministratore in soli 9 secondi. Un funzionario del DOD ha affermato che il tempo di violazione della password non è una misura utile della sicurezza di un sistema perché un utente malintenzionato può trascorrere mesi o anni cercando di entrare in un sistema; con quella sequenza temporale, sia che occorra qualche ora o qualche giorno per indovinare una password non è significativo. Tuttavia, il GAO ha affermato che un tale esempio rivela quanto sia facile farlo al DOD. (La scrittrice cablata Emily Dreyfuss ha riportato la violazione della password di 9 secondi il 10 ottobre).
L'analisi e il rapporto sono stati richiesti dal Comitato delle forze armate del Senato in previsione di 1,66 trilioni di dollari che il DOD intende spendere per sviluppare l'attuale "portafoglio" dei principali sistemi d'arma.
Sempre più spesso i sistemi d'arma dipendono dal software per svolgere le loro funzioni. Le armi sono anche collegate a Internet e ad altre armi, rendendole più sofisticate, secondo il GAO. Questi progressi li rendono anche "più vulnerabili agli attacchi informatici", ha affermato il GAO.
È possibile hackerare qualsiasi parte di un sistema di armamenti guidato da software. "Esempi di funzioni abilitate dal software - e potenzialmente suscettibili di compromissione - includono l'accensione e lo spegnimento di un sistema, il targeting di un missile, il mantenimento dei livelli di ossigeno di un pilota e l'aeromobile in volo", afferma il rapporto GAO.
Sebbene il DOD abbia iniziato a migliorare la sicurezza informatica negli ultimi anni, ha affermato il GAO, affronta diverse sfide, una delle quali è la mancanza di condivisione delle informazioni tra i programmi. Ad esempio, "se un sistema d'arma avesse subito un attacco informatico, ai funzionari del programma DOD non sarebbero stati forniti dettagli specifici di tale attacco da parte della comunità dell'intelligence a causa del tipo di classificazione di tali informazioni", afferma il rapporto.
Inoltre, il DOD sta facendo fatica ad assumere e trattenere esperti di sicurezza informatica, afferma il rapporto.
Sebbene il GAO abbia affermato di non avere raccomandazioni ora, l'agenzia ritiene che le vulnerabilità individuate nella sua analisi "rappresentino una frazione delle vulnerabilità totali a causa delle limitazioni dei test. Ad esempio, non tutti i programmi sono stati testati e i test non riflettono l'intera gamma di minacce."
Articolo originale su Scienza dal vivo.
