2006
Mar
21
21/03/2006 La deficiente seguridad informática en el ejército norteamericano
De vez en cuando asistimos a noticias que, como mínimo, ponen los
pelos de punta: una auditoría en los sistemas informáticos
responsables de los radares, lanzamientos de misiles y centros de
mando tenían graves deficiencias en aspectos de seguridad.
ejército de los Estados Unidos publicó a mediados del pasado mes de
febrero un informe, «Select Controls for the Information Security of
the Ground-based Midcourse Defense Communications Network», donde se
analizaban los sistemas informáticos responsables del control de la
defensa terrestre. Entre los elementos controlados se encuentran las
bases de lanzamientos de misiles tierra-aire y los centros de mando.Esta auditoría ha desvelado unos datos realmente escandalosos. Si hoy
en día ya es grave detectar la ausencia de procedimientos o normativas
referentes a la seguridad informática en organizaciones de todo tipo,
detectar este tipo de incumplimiento en centros tan sensibles y donde
cualquier error o ataque puede llegar a tener resultados fatales
debería, sin duda, hacernos reflexionar.La auditoría revela como algunas de las empresas subcontratadas por
el gobierno norteamericano, Boeing y MDA, que tenían responsabilidad
directa sobre las comunicaciones y los sistemas informáticos llevan
repetidamente saltándose las normas más básicas de seguridad.Posiblemente la carencia más destacada es la utilización de
contraseñas compartidas que, además, se transmitían a través de
enlaces no cifrados ni protegidos. La interceptación de estas
contraseñas hubiera podido comprometer la seguridad global del
sistema. Adicionalmente la red no se encontraba monitorizada dado que,
según las empresas subcontratadas, la monitorización no era un
requisito en el contrato.Los problemas no acaban aquí: no existía gestión de las cuentas de
usuarios llegando al extremo que cualquier administrador de sistemas
disponía de la capacidad de crear nuevas cuentas de usuario,
asignándole los permisos que se le antojaran... sin que quedara
constancia o se pudiera detectar la creación de estas cuentas.Todas estas deficiencias se agravan aún más al conocer las dimensiones
de la red: más de 320.000 kilómetros de fibra óptica repartidos entre
30 estados y con miles de sistemas informáticos conectados. En una red
de esta magnitud, la falta de rigurosos procedimientos de seguridad
tiene como resultado que la seguridad sea totalmente inmanejable.Poco después de traslucir la existencia de este informe, disponible en
la web del ejército de los Estados Unidos, fue retirado. No obstante,
es fácilmente localizable en la red (ver los enlaces de la sección
'Más información').
No es la primera vezHace un par de años, el secretario de defensa de los presidentes
Kennedy y Jonson reveló otro dato, que como el comentado
anteriormente, es igualmente escalofriante: durante años el famoso
código necesario para lanzar un ataque nuclear era... la simple
sucesión de ocho ceros. Este único código permaneció inalterado
durante los momentos más críticos de la guerra fría. Y así continuó
hasta 1997.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2705/comentar
Más información
Security flaws could cripple missile defense network
http://www.fcw.com/article92640-03-16-06-Web&newsletter%3Dyes
Missile defense network open to cyberattack
http://www.fcw.com/article92665-03-20-06-Print
DOD removes missile defense system report from web site
http://www.fcw.com/article92668-03-20-06-Web
Select Controls for the Information Security of the Ground-based Midcourse
Defense Communications Network
http://www.fcw.com/images/st_images/MDADODIGReport.pdf
Problemes de seguretat als sistemes militars dels Estats Units
http://www.quands.cat/2006/03/21.html#a6907
Keeping Presidents in the Nuclear Dark
(Episode #1: The Case of the Missing "Permissive Action Links")
http://www.cdi.org/blair/permissive-action-links.cfm
Política de contrasenyes durant la Guerra Freda
http://www.quands.cat/2004/06/01.html#a2562
Xavier Caballé