Algumas das armas mais modernas do sistema de defesa dos EUA não passam nos testes de resistência a ataques cibernéticos. Essa é a principal descoberta do Government Accountability Office (GAO), agência do governo americano que fiscaliza o Congresso, revelada num relatório publicado ontem, A lista de problemas inclui senhas que foram adivinhadas em segundos, outras que vieram de fábrica e nunca foram alteradas, vulnerabilidades cibernéticas conhecidas e nunca corrigidas.
Utilizando dados de testes feitos nos sistemas de armas entre 2012 e 2017, o relatório afirma que usando “ferramentas e técnicas relativamente simples, os testadores conseguiram controlar os sistemas e operaram amplamente sem serem detectados” devido a vulnerabilidades básicas de segurança.
O GAO diz que os problemas foram generalizados: “Os testadores do DOD (Department of Defense) rotineiramente encontraram vulnerabilidades cibernéticas de missão crítica em quase todos os sistemas de armas que estavam em desenvolvimento”. Quando funcionários do programa de armas foram questionados sobre os pontos fracos, segundo o GAO, “acreditavam que seus sistemas eram seguros e descartavam alguns resultados de testes como irrealistas”.
Apesar da crescente importância dos computadores e redes, diz o GAO, o Pentágono só recentemente assumiu como prioridade garantir a segurança cibernética de seus sistemas de armas. Mas, observa o relatório, “O DOD não conhece a lista completa de suas vulnerabilidades no sistema de armas”. Parte das razões para as incertezas, segundo o GAO, é que os testes cibernéticos e de intrusão do Departamento de Defesa têm “alcance e sofisticação limitados”. Embora se apresentassem como hackers, por exemplo, os testadores não tinham liberdade para atacar os sistemas dos contratados, nem tinham tempo para passar meses ou anos se concentrando na extração de dados e no controle das redes.
Ainda assim, os testes citados no relatório encontraram “exemplos generalizados de pontos fracos em cada um dos quatro objetivos de segurança que os testes de segurança cibernética normalmente examinam: proteger, detectar, responder e recuperar”.