Vulnerabilidades en los sistemas de armas – Schneier on Security


Vulnerabilidades en los sistemas de armas

«Si cree que alguno de estos sistemas funcionará como se esperaba en tiempos de guerra, se está engañando a sí mismo».

Esa fue la respuesta de Bruce en una conferencia organizada por el Comando de Transporte de EE. UU. En 2017, después de enterarse de que sus sistemas logísticos computarizados estaban en su mayoría sin clasificar y en Net. Eso puede ser necesario para mantenerse en contacto con compañías civiles como FedEx en tiempos de paz o cuando luchan contra terroristas o insurgentes. Pero en una nueva era que se enfrenta a China o Rusia, es peligrosamente complaciente.

Cualquier guerra del siglo XXI incluirá operaciones cibernéticas. Las armas y los sistemas de apoyo serán atacados con éxito. Rifles y pistolas no funcionará correctamente. Los drones serán secuestrado aire. Barcos no navegaráo será mal dirigido. Hospitales no funcionará. El equipo y los suministros llegar tarde o nada.

Nuestros sistemas militares son susceptible. Necesitamos enfrentar esa realidad deteniendo la compra de armas y sistemas de apoyo inseguros e incorporando las realidades de los ataques cibernéticos ofensivos en nuestra planificación militar.

Durante la última década, los ejércitos han establecido comandos cibernéticos y desarrollado guerra cibernética doctrina. Sin embargo, gran parte de la discusión real trata sobre la ofensa. Aumentar nuestras capacidades ofensivas sin poder asegurarlas es como tener las mejores armas del mundo y luego almacenarlas en una armería desbloqueada y sin vigilancia. Simplemente no serán robados serán subvertidos.

Durante ese mismo período, hemos visto cada vez más descarado Ataques ciberneticos por todos de criminales a gobiernos. Todo es ahora una computadora, y esas computadoras son vulnerables. Los automóviles, los dispositivos médicos, las centrales eléctricas y las tuberías de flamable han sido objetivos. Las computadoras militares, ya sea que estén integradas dentro de sistemas de armas o en computadoras de escritorio que administran la logística de esos sistemas de armas, son igualmente vulnerables. Podríamos ver efectos tan pesados ​​como hacer que un tanque sea imposible de arrancar, o sofisticados como reorientar un misil en el aire.

Es poco possible que el application militar sea más seguro que el software program comercial. Aunque los sistemas militares sensibles se basan en chips de fabricación nacional como parte de la Fundición de confianza programa, muchos sistemas militares contienen los mismos chips y códigos extranjeros que los sistemas comerciales: al igual que todos en todo el mundo utilizan los mismos teléfonos móviles, equipos de purple y sistemas operativos informáticos. Por ejemplo, ha habido preocupacion seria sobre equipos de pink 5G fabricados en China que China podría utilizar para instalar «puertas traseras» que permitirían controlar el equipo. Este es solo uno de los muchos riesgos para nuestra computadora civil standard. cadenas de suministro. Y dado que el application militar es vulnerable a los mismos ciberataques que el application comercial, las cadenas de suministro militares tienen muchos de los mismos riesgos.

Esto no es especulativo. A Informe GAO 2018 expresó su preocupación por la falta de sistemas de armas estadounidenses seguros y parcheables. El informe observó que «en las pruebas operativas, el (Departamento de Defensa) encontró de forma rutinaria vulnerabilidades cibernéticas de misión crítica en los sistemas que estaban en desarrollo, sin embargo, los funcionarios del programa con los que se reunió la GAO creían que sus sistemas eran seguros y descartaron algunos resultados de las pruebas como poco realistas». Es una actitud equivalent a la de los ejecutivos corporativos que creen que no pueden ser pirateados, e igualmente ingenuos.

Un informe GAO actualizado de principios de este año encontró algunas mejoras, pero el problema básico seguía siendo: «El DOD todavía está aprendiendo cómo contratar la seguridad cibernética en los sistemas de armas, y los programas seleccionados que revisamos han tenido dificultades para incorporar los requisitos de seguridad cibernética de los sistemas en los contratos». Si bien el Departamento de Defensa ahora parece consciente del problema de la falta de requisitos de ciberseguridad, todavía no están seguros de cómo solucionarlo, y en tres de los cinco casos que revisó la GAO, el Departamento de Defensa simplemente eligió no incluir los requisitos en absoluto.

Los militares de todo el mundo ahora están explotando estas vulnerabilidades en los sistemas de armas para llevar a cabo operaciones. Cuando Israel en 2007 bombardeó un reactor nuclear sirio, la incursión fue precedida por lo que se cree que fue un ciberataque en las defensas aéreas sirias, lo que resultó en pantallas de radar que no mostraban ninguna amenaza cuando los bombarderos pasaban por encima. En 2018, un ejercicio de la OTAN de 29 países, Coyuntura tridente, que incluía armas cibernéticas period interrumpido por interferencia de GPS ruso. La OTAN intenta probar las armas cibernéticas fuera de tales ejercicios, pero tiene un alcance limitado para hacerlo. En mayo, Jens Stoltenberg, secretario standard de la OTAN, dicho que «los sistemas informáticos de la OTAN se enfrentan a ciberataques casi a diario».

La guerra del futuro no solo se tratará de explosiones, sino que también se tratará de deshabilitar los sistemas que hacen que los ejércitos funcionen. No es (únicamente) que las bases volarán es que algunas bases perderán energía, datos y comunicaciones. No es que los camiones autónomos de repente se vuelvan locos y empiecen a arrollar a soldados amigos es que casualmente se saldrán de las carreteras o caerán en el agua donde se sientan, se oxidan y necesitan reparación. No es que los sistemas de focalización de las armas se redirijan a 1600 Pennsylvania Avenue es que muchos de ellos podrían simplemente apagarse y no volver a encenderse.

Entonces, ¿cómo nos preparamos para esta próxima guerra? Primero, los militares deben introducir un poco de anarquía en su planificación. Tengamos juegos de guerra en los que los sistemas esenciales no funcionen correctamente o se alteren, no todo el tiempo, sino al azar. Para ayudar a combatir el pensamiento militar aislado, incluya también a algunos civiles. Permita que sus tips entren en la habitación al predecir la posible acción del enemigo. Y los ejércitos necesitan tener planes de respaldo bien desarrollados, para cuando los sistemas sean subvertidos. En la novela de ciencia ficción de Joe Haldeman de 1975 La guerra eterna postuló un «campo de estasis» que obligó a sus marines espaciales a depender nada más que de tecnologías militares romanas, como jabalinas. Deberíamos pensar en la misma dirección.

La OTAN aún no está permitiendo los civiles no empleados por la OTAN o contratistas militares asociados acceden a sus ciberespacios de entrenamiento donde las vulnerabilidades podrían ser descubiertas y remediadas antes del despliegue en el campo de batalla. El año pasado, uno de nosotros (Tarah) estaba escuchando una sesión informativa de la OTAN después del last del Coalición Cibernética 2020 ejercicios, y preguntó cómo ella y otros investigadores de seguridad de la información podrían ofrecerse como voluntarios para probar los rangos cibernéticos utilizados para capacitar a su fuerza de respuesta a incidentes cibernéticos. Le dijeron que incluir a civiles sería un «experimento mental bienvenido en los ejercicios de mesa», pero no se consideró incluirlos en la realidad. Hay una gran oportunidad de mejora aquí, proporcionando transparencia sobre dónde se podrían realizar mejoras.

En segundo lugar, es hora de tomarse en serio la ciberseguridad en las adquisiciones militares, desde los sistemas de armas hasta los contratos de logística y comunicaciones. En el período de tres años desde el informe authentic de la GAO de 2018 hasta el informe de este año, el cumplimiento de la auditoría de ciberseguridad pasó del % al 40% (los 2 de los 5 programas mencionados anteriormente). Necesitamos mejorar mucho. DOD requiere que sus contratistas y proveedores sigan las Certificación del modelo de madurez en ciberseguridad proceso debe regirse por los mismos estándares. Hacer esos estándares más rigurosos y obligatorios sería un segundo paso obvio.

Atrás quedaron los días en los que podemos fingir que nuestras tecnologías funcionarán frente a un ciberataque militar. Asegurar nuestros sistemas hará que todo lo que compramos sea más caro, quizás mucho más caro. Pero la alternativa ya no es feasible.

El futuro de la guerra es la ciberguerra. Si sus armas y sistemas no son seguros, ni siquiera se moleste en llevarlos al campo de batalla.

Este ensayo fue escrito con Tarah Wheeler, y aparecido previamente en Brookings TechStream.

Publicado el 8 de junio de 2021 a las 5:32 a. M. •
1 comentarios



Enlace a la noticia first