La seguridad informática en el ejército norteamericano es deficiente

l organismo responsable de la realización de auditorías en el
ejército de los Estados Unidos publicó a mediados del pasado mes de febrero un informe, «Select Controls for the Information Security of the Ground-based Midcourse Defense Communications Network», donde se analizaban los sistemas informáticos responsables del control de la defensa terrestre. Entre los elementos controlados se encuentran las bases de lanzamientos de misiles tierra-aire y los centros de mando.

Esta auditoría ha desvelado unos datos realmente escandalosos. Si hoy en día ya es grave detectar la ausencia de procedimientos o normativas referentes a la seguridad informática en organizaciones de todo tipo, detectar este tipo de incumplimiento en centros tan sensibles y donde cualquier error o ataque puede llegar a tener resultados fatales debería, sin duda, hacernos reflexionar.

La auditoría revela como algunas de las empresas subcontratadas por el gobierno norteamericano, Boeing y MDA, que tenían responsabilidad directa sobre las comunicaciones y los sistemas informáticos llevan repetidamente saltándose las normas más básicas de seguridad.

Posiblemente la carencia más destacada es la utilización de
contraseñas compartidas que, además, se transmitían a través de enlaces no cifrados ni protegidos. La interceptación de estas contraseñas hubiera podido comprometer la seguridad global del sistema. Adicionalmente la red no se encontraba monitorizada dado que, según las empresas subcontratadas, la monitorización no era un requisito en el contrato.

Los problemas no acaban aquí: no existía gestión de las cuentas de usuarios llegando al extremo que cualquier administrador de sistemas disponía de la capacidad de crear nuevas cuentas de usuario, asignándole los permisos que se le antojaran... sin que quedara constancia o se pudiera detectar la creación de estas cuentas.

Todas estas deficiencias se agravan aún más al conocer las dimensiones de la red: más de 320.000 kilómetros de fibra óptica repartidos entre 30 estados y con miles de sistemas informáticos conectados. En una red de esta magnitud, la falta de rigurosos procedimientos de seguridad tiene como resultado que la seguridad sea totalmente inmanejable.

Poco después de traslucir la existencia de este informe, disponible en la web del ejército de los Estados Unidos, fue retirado. No obstante, es fácilmente localizable en la red.

No es la primera vez

Hace un par de años, el secretario de defensa de los presidentes
Kennedy y Jonson reveló otro dato, que como el comentado anteriormente, es igualmente escalofriante: durante años el famoso código necesario para lanzar un ataque nuclear era... la simple sucesión de ocho ceros. Este único código permaneció inalterado durante los momentos más críticos de la guerra fría. Y así continuó hasta 1997.


Más información

Security flaws could cripple missile defense network
www.fcw.com/article92640-03-16-06-Web&newsletter%3Dyes

Missile defense network open to cyberattack
www.fcw.com/article92665-03-20-06-Print

DOD removes missile defense system report from web site
www.fcw.com/article92668-03-20-06-Web

Select Controls for the Information Security of the Ground-based Midcourse Defense Communications Network
www.fcw.com/images/st_images/MDADODIGReport.pdf

Problemes de seguretat als sistemes militars dels Estats Units
www.quands.cat/2006/03/21.html#a6907

Keeping Presidents in the Nuclear Dark
(Episode #1: The Case of the Missing "Permissive Action Links")
www.cdi.org/blair/permissive-action-links.cfm

Política de contrasenyes durant la Guerra Freda
www.quands.cat/2004/06/01.html#a2562