martes, 21 de marzo de 2006

La deficiente seguridad informática en el ejército norteamericano

De vez en cuando asistimos a noticias que, como mínimo, ponen los
pelos de punta: una auditoría en los sistemas informáticos
responsables de los radares, lanzamientos de misiles y centros de
mando tenían graves deficiencias en aspectos de seguridad.

El organismo responsable de la realización de auditorías en el
ejército de los Estados Unidos publicó a mediados del pasado mes de
febrero un informe, «Select Controls for the Information Security of
the Ground-based Midcourse Defense Communications Network», donde se
analizaban los sistemas informáticos responsables del control de la
defensa terrestre. Entre los elementos controlados se encuentran las
bases de lanzamientos de misiles tierra-aire y los centros de mando.

Esta auditoría ha desvelado unos datos realmente escandalosos. Si hoy
en día ya es grave detectar la ausencia de procedimientos o normativas
referentes a la seguridad informática en organizaciones de todo tipo,
detectar este tipo de incumplimiento en centros tan sensibles y donde
cualquier error o ataque puede llegar a tener resultados fatales
debería, sin duda, hacernos reflexionar.

La auditoría revela como algunas de las empresas subcontratadas por
el gobierno norteamericano, Boeing y MDA, que tenían responsabilidad
directa sobre las comunicaciones y los sistemas informáticos llevan
repetidamente saltándose las normas más básicas de seguridad.

Posiblemente la carencia más destacada es la utilización de
contraseñas compartidas que, además, se transmitían a través de
enlaces no cifrados ni protegidos. La interceptación de estas
contraseñas hubiera podido comprometer la seguridad global del
sistema. Adicionalmente la red no se encontraba monitorizada dado que,
según las empresas subcontratadas, la monitorización no era un
requisito en el contrato.

Los problemas no acaban aquí: no existía gestión de las cuentas de
usuarios llegando al extremo que cualquier administrador de sistemas
disponía de la capacidad de crear nuevas cuentas de usuario,
asignándole los permisos que se le antojaran... sin que quedara
constancia o se pudiera detectar la creación de estas cuentas.

Todas estas deficiencias se agravan aún más al conocer las dimensiones
de la red: más de 320.000 kilómetros de fibra óptica repartidos entre
30 estados y con miles de sistemas informáticos conectados. En una red
de esta magnitud, la falta de rigurosos procedimientos de seguridad
tiene como resultado que la seguridad sea totalmente inmanejable.

Poco después de traslucir la existencia de este informe, disponible en
la web del ejército de los Estados Unidos, fue retirado. No obstante,
es fácilmente localizable en la red (ver los enlaces de la sección
'Más información').


No es la primera vez

Hace un par de años, el secretario de defensa de los presidentes
Kennedy y Jonson reveló otro dato, que como el comentado
anteriormente, es igualmente escalofriante: durante años el famoso
código necesario para lanzar un ataque nuclear era... la simple
sucesión de ocho ceros. Este único código permaneció inalterado
durante los momentos más críticos de la guerra fría. Y así continuó
hasta 1997.


Xavier Caballé
xavi@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada