[LUG.ro Mix] La deficiente seguridad informática en el ejército norteamericano

Thu, 23 Mar 2006 09:51:23 -0300

--nextPart25414048.k6vgF8pEiN
Content-Type: text/plain;
  charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Les paso esto que sali en Hispasec, realmente alarmante.

 -------------------------------------------------------------------
  Hispasec - una-al-d=EDa                                  21/03/2006
  Todos los d=EDas una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------
=20
 La deficiente seguridad inform=E1tica en el ej=E9rcito norteamericano
 -----------------------------------------------------------------

De vez en cuando asistimos a noticias que, como m=EDnimo, ponen los
pelos de punta: una auditor=EDa en los sistemas inform=E1ticos
responsables de  los radares, lanzamientos de misiles y centros de
mando ten=EDan graves deficiencias en aspectos de seguridad.

El organismo responsable de la realizaci=F3n de auditor=EDas en el
ej=E9rcito de los Estados Unidos public=F3 a mediados del pasado mes de
febrero un informe, =ABSelect Controls for the Information Security of
the Ground-based Midcourse Defense Communications Network=BB, donde se
analizaban los sistemas inform=E1ticos responsables del control de la
defensa terrestre. Entre los elementos controlados se encuentran las
bases de lanzamientos de misiles tierra-aire y los centros de mando.

Esta auditor=EDa ha desvelado unos datos realmente escandalosos. Si hoy
en d=EDa ya es grave detectar la ausencia de procedimientos o normativas
referentes a la seguridad inform=E1tica en organizaciones de todo tipo,
detectar este tipo de incumplimiento en centros tan sensibles y donde
cualquier error o ataque puede llegar a tener resultados fatales
deber=EDa, sin duda, hacernos reflexionar.

La auditor=EDa revela como algunas de las empresas subcontratadas por=20
el gobierno norteamericano, Boeing y MDA, que ten=EDan responsabilidad
directa sobre las comunicaciones y los sistemas inform=E1ticos llevan
repetidamente salt=E1ndose las normas m=E1s b=E1sicas de seguridad.

Posiblemente la carencia m=E1s destacada es la utilizaci=F3n de
contrase=F1as compartidas que, adem=E1s, se transmit=EDan a trav=E9s de
enlaces no cifrados ni protegidos. La interceptaci=F3n de estas
contrase=F1as hubiera podido comprometer la seguridad global del
sistema. Adicionalmente la red no se encontraba monitorizada dado que,
seg=FAn las empresas subcontratadas, la monitorizaci=F3n no era un
requisito en el contrato.

Los problemas no acaban aqu=ED: no exist=EDa gesti=F3n de las cuentas de
usuarios llegando al extremo que cualquier administrador de sistemas
dispon=EDa de la capacidad de crear nuevas cuentas de usuario,
asign=E1ndole los permisos que se le antojaran... sin que quedara
constancia o se pudiera detectar la creaci=F3n de estas cuentas.

Todas estas deficiencias se agravan a=FAn m=E1s al conocer las dimensiones
de la red: m=E1s de 320.000 kil=F3metros de fibra =F3ptica repartidos entre
30 estados y con miles de sistemas inform=E1ticos conectados. En una red
de esta magnitud, la falta de rigurosos procedimientos de seguridad
tiene como resultado que la seguridad sea totalmente inmanejable.

Poco despu=E9s de traslucir la existencia de este informe, disponible en
la web del ej=E9rcito de los Estados Unidos, fue retirado. No obstante,
es f=E1cilmente localizable en la red (ver los enlaces de la secci=F3n
'M=E1s informaci=F3n').

No es la primera vez

Hace un par de a=F1os, el secretario de defensa de los presidentes
Kennedy y Jonson revel=F3 otro dato, que como el comentado
anteriormente, es igualmente escalofriante: durante a=F1os el famoso
c=F3digo necesario para lanzar un ataque nuclear era... la simple
sucesi=F3n de ocho ceros. Este =FAnico c=F3digo permaneci=F3 inalterado
durante los momentos m=E1s cr=EDticos de la guerra fr=EDa. Y as=ED continu=
=F3
hasta 1997.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2705/comentar

M=E1s informaci=F3n

Security flaws could cripple missile defense network
http://www.fcw.com/article92640-03-16-06-Web&newsletter%3Dyes

Missile defense network open to cyberattack
http://www.fcw.com/article92665-03-20-06-Print

DOD removes missile defense system report from web site
http://www.fcw.com/article92668-03-20-06-Web

Select Controls for the Information Security of the Ground-based Midcourse
Defense Communications Network
http://www.fcw.com/images/st_images/MDADODIGReport.pdf

Problemes de seguretat als sistemes militars dels Estats Units
http://www.quands.cat/2006/03/21.html#a6907

Keeping Presidents in the Nuclear Dark
(Episode #1: The Case of the Missing "Permissive Action Links")
http://www.cdi.org/blair/permissive-action-links.cfm

Pol=EDtica de contrasenyes durant la Guerra Freda
http://www.quands.cat/2004/06/01.html#a2562

Xavier Caball=E9
xavi@hispasec.com
=2D-=20

Sebasti=E1n D. Criado - scriado{en}ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
=2D------------------------------------------------------------------
"Si el Universo fuera un programa estar=EDa hecho en C, y correr=EDa sobre
un sistema UNIX"
                                                   An=F3nimo.

		=09

--nextPart25414048.k6vgF8pEiN
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBEIpnU8hmHQ8ZCg0IRAiZyAKCd9lDCND/P28q/kPvK0gkp/dZklgCgs1HG
utYu6umThtwlFdeUU33HITI=
=OJvM
-----END PGP SIGNATURE-----

--nextPart25414048.k6vgF8pEiN--