Il Government Accountability Office (GAO) statunitense ha pubblicato un rapporto destinato al Senato nel quale valuta la difesa cibernetica degli armamenti in dotazione alle forze armate. I risultati sono piuttosto deludenti, perché descrivono i sistemi di arma – anche quelli “mission critical” – come vulnerabili ad attacchi informatici.
Il problema nasce da una concomitanza di fattori. Anzitutto – come scrive il GAO – la bassa priorità assegnata dal Dipartimento della Difesa USA alla cybersecurity degli armamenti, cosa che non darebbe problemi se i soldati venissero mandati in combattimento con armi di cinquant’anni fa. Se si considera però che gli armamenti moderni hanno un bisogno crescente di connettività e automazione, si può facilmente capire come la loro sicurezza informatica non possa restare relegata a un semplice “nice to have”. Armi moderne e tecnologiche necessitano di adeguate difese cibernetiche, in caso contrario in un ipotetico conflitto il nemico avrebbe gioco facile nel sabotarle, danneggiarle o (cosa ovviamente peggiore) usarle contro gli stessi operatori, il tutto lanciando cyber-attacchi da remoto.
Nel suo rapporto il GAO non è delicato con il DoD, ma anzi si toglie più di un sassolino dalla scarpa, inclusa la seguente affermazione:
“Although GAO and others have warned of cyber risks for decades, until recently, DOD did not prioritize weapon systems cybersecurity.”
Attraverso indagini e colloqui con le parti interessate è emerso che fino al 2014 vi era un generale disinteresse delle forze armate USA verso la sicurezza cibernetica delle armi, tanto che questa non veniva presa seriamente in considerazione neanche durante gli acquisti. Non dovendo quindi sottostare a rigidi parametri di cybersecurity, i sistemi acquistati non possedevano adeguate difese dagli assalti cyber.
Ancora oggi molti ufficiali non hanno un’idea chiara delle implicazioni di cybersecurity nei componenti che devono gestire, situazioni che rendono più difficile raggiungere un’adeguata sicurezza dei sistemi.
Secondo il GAO quasi tutti i principali acquisti di armamenti sui quali sono stati effettuati test operativi dal 2012 al 2017 presentano vulnerabilità di sicurezza mission-critical che un avversario potrebbe sfruttare a suo vantaggio. Nei test presi in esame i ricercatori hanno constatato come fosse possibile violare le difese e prendere il controllo parziale o totale di un sistema d’arma, in poco tempo e usando tool e tecniche relativamente semplici.
La scarsa solidità delle password si è dimostrato uno dei problemi più comuni. In un test del DoD il red team è riuscito a indovinare la password di amministrazione in soli nove secondi. In altri casi i sistemi di arma si appoggiavano a software open source o commerciali, dai quali però non era stata modificata la password di default.
Commettere tali errori in un teatro di guerra può portare a conseguenze drammatiche.
Il networking dei componenti, le debolezze nelle reti dei fornitori, le complessità derivanti dall’interdipendenza degli armamenti da altri sistemi (come il GPS), la scarsa priorità data alla cybersecurity sono tutti problemi sollevati dal report, che descrive i sistemi di arma come pericolosamente vulnerabili e rifila al Department of Defense statunitense una sonora bacchettata.
