Os sistemas de armas que estão sendo desenvolvidos pelo Departamento de Defesa dos EUA são vulneráveis a ataques cibernéticos, o que significa que algum malfeitor com habilidades de hackers poderia assumir o controle de tais armas sem ser notado, de acordo com um novo relatório do GAO, divulgado em outubro 9.
E o DOD parecia alheio às ameaças: embora os testes realizados pelo próprio DOD tenham mostrado tais vulnerabilidades, funcionários do departamento disseram ao GAO que "acreditavam que seus sistemas estavam seguros e desconsideraram alguns resultados dos testes por serem irrealistas", segundo o relatório, que baseia-se na análise de testes, políticas e diretrizes de segurança cibernética do DOD, bem como em entrevistas do DOD.
"Usando ferramentas e técnicas relativamente simples, os testadores foram capazes de assumir o controle dos sistemas e operar em grande parte sem serem detectados, devido em parte a problemas básicos, como gerenciamento inadequado de senhas e comunicações não criptografadas", afirmou o relatório.
De fato, uma equipe de teste decifrou a senha de um administrador em apenas 9 segundos. Um funcionário do Departamento de Defesa disse que o tempo de quebra de senha não é uma medida útil da segurança de um sistema, porque um invasor pode passar meses ou anos tentando invadir um sistema; com essa linha do tempo, se leva algumas horas ou alguns dias para adivinhar uma senha não é significativa. No entanto, o GAO disse que esse exemplo revela como é fácil fazê-lo no DOD. (A escritora com fio Emily Dreyfuss relatou a quebra de senha de 9 segundos em 10 de outubro.)
A análise e o relatório foram solicitados pelo Comitê das Forças Armadas do Senado, antecipando os US $ 1,66 trilhão que o DOD planeja gastar para desenvolver seu atual "portfólio" dos principais sistemas de armas.
Cada vez mais, os sistemas de armas dependem do software para desempenhar suas funções. As armas também estão conectadas à Internet e outras armas, tornando-as mais sofisticadas, de acordo com o GAO. Esses avanços também os tornam "mais vulneráveis a ataques cibernéticos", afirmou o GAO.
Qualquer parte de um sistema de armas acionado por software pode ser invadida. "Exemplos de funções ativadas por software - e potencialmente suscetíveis de comprometer - incluem ligar e desligar um sistema, atingir um míssil, manter os níveis de oxigênio de um piloto e voar aeronaves", disse o relatório do GAO.
Embora o DOD tenha começado a fazer melhorias na segurança cibernética nos últimos anos, disse o GAO, ele enfrenta vários desafios, um dos quais é a falta de compartilhamento de informações entre os programas. Por exemplo, "se um sistema de armas experimentasse um ataque cibernético, os funcionários do programa do Departamento de Defesa não receberiam detalhes específicos sobre esse ataque da comunidade de inteligência devido ao tipo de classificação dessas informações", afirmou o relatório.
Além disso, o Departamento de Defesa está enfrentando dificuldades para contratar e manter especialistas em segurança cibernética, segundo o relatório.
Embora o GAO tenha dito que não tem recomendações agora, a agência acha que as vulnerabilidades detectadas em sua análise "representam uma fração do total de vulnerabilidades devido a limitações de teste. Por exemplo, nem todos os programas foram testados e os testes não refletem toda a gama de ameaças ".
Artigo original sobre Ciência ao vivo.
