Novas armas dos EUA vulneráveis a ciberataques, aponta relatório
Em vários casos, os auditores apenas tiveram de pesquisar online a palavra-passe que vinha de fábrica para ganhar controlo de sistemas que gerem armamento.
Várias das armas de topo adquiridas recentemente para o arsenal dos EUA, e que ainda não estão em uso, são altamente vulneráveis a ciberataques, de acordo com um relatório oficial. Palavras-passe que nunca mudam ou que são tão básicas que demoram segundos a ser adivinhadas estão entre os maiores problemas de segurança informática do Departamento de Defesa americano.
As falhas foram divulgadas pelo Government Accountability Office (GAO) – responsável por auditar a administração dos EUA –, num relatório de 50 páginas publicado esta semana. Foi encomendado pelo Comité das Forças Armadas, numa altura em que o Departamento de Defesa que se prepara para investir cerca de 1,66 biliões de dólares a melhorar o armamento actual.
Quase todas as funções em sistemas de armas – desde manter os níveis de oxigénio correctos em aviões militares, a detectar mísseis inimigos – dependem de sistemas informáticos conectados, mas as conclusões do GAO mostram problemas. “O Departamento de Defesa provavelmente concebeu e construiu uma nova geração de armamento sem considerar adequadamente a cibersegurança”, critica o relatório.
As conclusões baseiam-se na análise de testes de rotina do Departamento de Defesa realizados desde 1991, e em simulações de ataques informáticos às novas armas, realizadas entre 2012 e 2017. “Através de técnicas e ferramentas simples, os examinadores eram capazes de controlar os sistemas e operá-los de forma maioritariamente incógnita", refere o relatório.
Em vários casos, bastava pesquisar a palavra-passe que vinha de fábrica – e não tinha sido alterada – na Internet. “A falta de gestão de palavras-passe é um dos problemas comuns nos testes que realizámos”, conclui o GAO. “Num dos testes, a nossa equipa conseguiu adivinhar a senha de um administrador em nove segundos”. De acordo com o relatório, o Departamento de Defesa contrapôs que medir o tempo que demora adivinhar uma palavra passe não é uma métrica útil para medir a cibersegurança.
Muitas das armas em uso também dependem de programas informáticos comerciais ou de código aberto.
Por questões de segurança, a versão pública do relatório não refere quais os sistemas mais vulneráveis no Departamento de Defesa. Na hora de atribuir culpas, o GAO diz que o estado actual deriva da falta de prioridade dada aos sistemas de cibersegurança nas armas, e da falta de conhecimento do Departamento de Defesa sobre como desenvolver armas mais seguras.
Somam-se dificuldades em contratar pessoal qualificado para trabalhar na área, o qual opta por trabalhar para empresas privadas, onde os salários são mais apelativos: o Departamento de Defesa não consegue competir com empresas que pagam entre 200 mil dólares e 250 mil dólares por ano aos especialistas.
Nos últimos anos, o Pentágono começou a investir em “alarmes” para avisar os operadores de armas de quaisquer ciberataques em curso. Para o GAO, isto não é suficiente: os falsos alarmes são tão comuns que trabalhadores e militares ignoram qualquer aviso.
“Quando os problemas eram identificados, ficavam frequentemente por revolver”, nota ainda o documento, que cita um relatório onde apenas uma de 20 vulnerabilidades detectadas foram resolvidas.
As conclusões chegam um mês depois da Nuclear Threat Initiative, uma organização não-governamental que monitoriza ameaças nucleares, publicar um relatório sobre os riscos de ciberataques que podem levar armas a serem activadas em resposta a “falsos alarmes”.
"As armas mais letais do mundo estão todas vulneráveis a ciberataques, com implicações globais e possivelmente catastróficas", observa aquela organização. "Os Estados com arsenais nucleares têm de reconhecer e isto e tomar medidas para mitigar os ciberataques, incluindo modificar políticas e posturas em relação ao nuclear."
Desde 2014, que os comandantes norte-americanos têm flexibilidade para lançar ciberataques sem aprovação presidencial, devido a um programa de cibersabotagem que Donald Trump herdou da administração de Barack Obama.