Il Dipartimento della Difesa statunitense ha ancora molto da lavorare sul fronte della cybersecurity, per scongiurare il rischio che alcuni dei suoi armamenti e i documenti riservati possano finire nelle mani sbagliate. A lanciare l’allarme è il Government Accountability Office, la sezione investigativa del Congresso USA, al termine di una valutazione che ha portato alla luce diverse gravi vulnerabilità.
Password deboli e niente crittografia
Il report, pubblicato nella giornata di ieri, fa riferimento a password deboli e scambi di informazioni eseguiti senza l’impiego di crittografia. In alcuni casi il Pentagono avrebbe addirittura lasciato invariati i codici d’accesso preimpostati di default per alcuni dei servizi commerciali utilizzati. A un malintenzionato basterebbe dunque cercare su Internet la documentazione della piattaforma per arrivare a mettere le mani su file e controlli che dovrebbero invece rimanere protetti da adeguate misure di sicurezza. Secondo il GAO, il pericolo è concreto e nonostante alcuni miglioramenti siano stati introdotti nel corso degli anni c’è ancora parecchio da fare.
Un attacco assestato con successo a uno dei sistemi da cui dipendono le armi potrebbe limitare la loro efficacia impedendo il raggiungimento della missione o addirittura causare un danni fisico o la perdita di vite.
Armi e documenti
Ciò che hanno fatto i tecnici dell’ufficio USA durante lo studio è stato mettere alla prova la sicurezza dei sistemi, riuscendo in alcuni casi a bucarli in modo del tutto invisibile e con esiti che sembrano uscire dalla sceneggiatura di una pellicola di spionaggio: download di oltre 100 GB di documenti e comparsa sui terminali dei militari di pop-up che chiedono ironicamente di inserire delle monetine per proseguire.
Per ovvie ragioni, le vulnerabilità non sono state elencate né descritte nel dettaglio. Si parla ad ogni modo anche di software per i quali non vengono installati i necessari aggiornamenti, nemmeno dopo la comparsa in Rete della documentazione relativa agli exploit e della disponibilità delle patch.
In un momento che vede gli equilibri nei rapporti tra le potenze mondiali sempre più soggetti alla circolazione delle informazioni (si pensi alle presunte influenze via social delle presidenziali USA) e proprio nei giorni che vedono chiudersi l’asta per la realizzazione dell’infrastruttura cloud JEDI che andrà a gestire tutti i dati del Pentagono, l’allarme lanciato dal GAO non può e non deve essere sottovalutato dal Dipartimento della Difesa statunitense. Nessuno di noi vuol immaginare quali potrebbero essere gli scenari spalancati dall’accesso ai sistemi in questione da parte di nazioni, governi o realtà ostili.