Facebook Hacker

Cosa succede?

Il sistema informatico che controlla le armi governative degli Stati Uniti potrebbe essere molto più a rischio di quanto possa sembrare. Qualche giorno fa un’associazione chiamata GAO (Government Accountability Office) ha rilevato grosse vulnerabilità all’interno del sistema che dovrebbe proteggere, con dei codici all’avanguardia, il controllo totale di tutte le armi militari degli Stati Uniti. L’associazione ha concluso il rapporto scrivendo:

Il sistema è facilmente hackerabile usando semplicissimi strumenti di base

Questo accade per tutte le armi testate dal 2012 al 2017, includendo anche il nuovissimo jet F-35 e tutti i sistemi missilistici nucleari. Il rapporto consisteva in 50 pagine in cui l’associazione, oltre ad esprimere la sua disapprovazione e la preoccupazione relativa alla situazione, elencava tutte le armi e i codici utilizzati per entrare facilmente all’interno dei sistemi.

Cosa dice il rapporto?

Per esempio, facendo riferimento al fatto che il Pentagono non abbia cambiato le password su più sistemi d’arma (lasciando la password predefinita), quelle modificate sono state indovinate invece dopo soli 9 secondi. Un team del GAO è stato in grado di ottenere facilmente il controllo di un sistema di armi e osservare dalle sue telecamere in tempo reale, mentre gli operatori rispondevano all’attacco senza riuscire a fare nulla. Per riuscire ad ottenere l’accesso iniziale ci volle solamente 1 ora, mentre è stato necessario 1 giorno per ottenere il pieno controllo dei sistemi, questo con una squadra composta da 2 persone.

Inoltre il GAO ha aggiunto che il sistema era talmente vulnerabile che le squadre di “test hacking” sono state in grado persino di copiare, modificare o eliminare i dati di sistema, cosa che è inaccettabile per un sistema di sicurezza governativo.

Ci vuole molto tempo per sviluppare un sistema di armi, spesso basato su iterazioni di sistemi molto più vecchi e, di conseguenza, i componenti e il software possono essere basati su codici molto vecchi e vulnerabili. Gli sviluppatori spesso trascurano l’irrigidimento della sicurezza dei sistemi dopo che li hanno messi in funzione, con la filosofia “funziona, quindi non cambiare”.
Tuttavia, questa non è una scusa: questo rapporto mostra alcuni difetti di sicurezza molto basilari che potrebbero essere facilmente risolti modificando le password e aggiornando il software.