“Anche i ricchi piangono” non torna sugli schermi ma rimane – almeno come slogan – di estrema attualità. Il titolo della famosa (o famigerata) telenovela messicana, che quarant’anni fa ha appassionato le casalinghe di tutto il mondo, si addice alla drammatica constatazione dei livelli di sicurezza informatica del “BMDS”, il sistema di missili balistici della Difesa americana.
Pronti ad immaginare la quasi consueta perfezione a stelle strisce, ci si stupisce nel leggere il severo report “Security Controls at DoD Facilities for Protecting Ballistic Missile Defense System Technical Information”, documento che fotografa una situazione ben lontana da quel che l’immaginario collettivo poteva avere ipotizzato e ancor più distante dalle teoriche visioni degli addetti ai lavori.
Nessuna cifratura dei dati, assenza di qualsivoglia programma antivirus, mancata disponibilità di meccanismi di identificazione ed autenticazione adeguati ad un contesto così delicato: se questa fosse mai una diagnosi medica, sarebbe difficile immaginare prescrizioni e terapie “easy”. L’Ispettore Generale del Dipartimento della Difesa Usa ha rilevato anche vulnerabilità mai “patchate” (orribile neologismo tecnico, ne sono cosciente, traducibile in “rattoppate”) nonostante alcune di queste fossero state individuate come falle pericolose da 28 anni.
Non parliamo di computer qualunque, ma del tessuto connettivo del sistema sviluppato per proteggere il territorio americano con l’eventuale lancio di missili balistici capaci di intercettare razzi con testate nucleari “spediti” da una nazione nemica.
A finire dietro la lavagna l’Esercito, la Marina e la Missile Defense Agency (MDA) colpevoli di non aver protetto elaboratori e reti utilizzate per la gestione, la conservazione e la ricetrasmissione di informazioni tecniche così critiche.
Uno degli aspetti di maggior fragilità è insito nelle procedure di riconoscimento degli operatori, normalmente in possesso di un codice identificativo (username o account o ID) e di una parola chiave. Al fine di irrobustire il livello di protezione è previsto che i neo-assunti (entro quindici giorni dal loro ingresso) ricevano anche una carta (CAC o Common Acces Card) indispensabile per abilitare l’utente a servirsi dei sistemi con le garanzie di una ulteriore autenticazione.
Gli auditor dell’Ispettore Generale hanno accertato che la precauzione della CAC (chiedo venia, ma l’acronimo è effettivamente imbarazzante) non viene realmente attuata: in tre delle cinque strutture sottoposte a controllo si è riscontrato un “alleggerimento delle procedure” con il semplice uso di account e password in barba a raccomandazioni fornite e strumenti messi a disposizione.
La gravità di quanto riscontrato è evidente. Gli utenti che dribblano l’autenticazione “multifactor” (parola chiave più carta) sono potenziali bersagli di operazioni di phishing e di conseguente furto delle credenziali (che nella fattispecie spalancherebbe le porte di aree protette ai più svariati malintenzionati).
Tra le falle, difficilmente perdonabili, ci sono la mancata previsione di idonei sistemi di rilevazione delle intrusioni (i cosiddetti IDS o Intrusion Detection Systems) e una serie di carenze persino nelle basilari misure di sicurezza fisica.
I “peccati mortali” non mancano: gli uomini dell’Ispettorato hanno messo in evidenza l’assenza di un archivio o registro elettronico in cui dovrebbero essere annotate le ragioni che hanno autorizzato gli accessi al sistema da parte dei singoli utenti, “diario” indispensabile per avere traccia di chi “circola” in un’area riservata di estrema delicatezza.
Le operazioni di controllo della situazione sono state impietose. Chi ha condotto le investigazioni ha provveduto a prendere un campione di dipendenti delle diverse basi missilistiche, chiedendo agli interessati i moduli di richiesta di accesso alle risorse informatiche del BMDS: il risultato è stato sconfortante per l’incompletezza dei riscontri forniti e per alcune risposte “collettive” inoltrate dagli amministratori di sistema a consuntivo di interi gruppi di persone.
Fermiamoci qui. Chi vuole leggere il documento nella versione “unclassified” trova – in ossequio alla trasparenza che onora le istituzioni americane – il file in formato pdf direttamente su uno dei server del Pentagono.
Se “copiando” c’è chi ha costruito carriere inossidabili, forse vale la pena sbirciare sul banco vicino o procedere ad un abile “cut and paste” per ripetere l’esperienza statunitense dalle nostre parti (magari pubblicandone i risultati).
L’alternativa è reinserire la testa nella sabbia e, come gli struzzi, continuare a far finta di nulla.