Nieuwe wapensystemen Pentagon wel heel eenvoudig te hacken

Het Amerikaanse ministerie van Defensie, het Pentagon, gaat een nieuwe generatie wapensystemen in gebruik nemen. Die systemen blijken wel heel eenvoudig om te hacken. De systemen beschikken over matige wachtwoorden, medewerkers communiceren zonder dat er van versleuteling gebruik gemaakt wordt en er zijn veel onopgeloste bugs.

Dat stelt het US Government Accountability Office (GAO) in een rapportage. Het agentschap is verantwoordelijk voor het controleren, evalueren en onderzoeken van diensten voor het Congres. Er werd een onderzoek ingelast naar de uitgaven die het Pentagon wil doen, ter waarde van 1,66 biljoen dollar. Afhankelijk van de uitkomst van dat onderzoek, wordt dat geld toegezegd.

Rol van de vijand

Volgens het nieuwe rapport speelden de GAO-testers “de rol van vijand”. Ze troffen een hele reeks kwetsbaarheden aan in de nieuwe wapensystemen. De medewerkers van GAO gebruikten “relatief eenvoudige tools en technieken” en konden systemen overnemen. Grotendeels ging dat zonder dat de medewerkers opgemerkt werden. Dat kwam “onder meer door problemen als slechte wachtwoorden en onversleutelde communicatie.”

Het rapport bevat een aantal schokkende conclusies. Zo hadden twee GAO-medewerkers slechts een uur nodig om toegang te krijgen tot een wapensysteem. Binnen een dag hadden ze volledige controle over het systeem. Opvallend vaak was het ook zo dat als GAO-medewerkers zich toegang probeerden te verschaffen tot een systemen, ze vaak hun eigen privileges konden upgraden.

Meerdere testteams meldden dat ze systeemgegevens konden kopiëren, veranderen en verwijderen. Een van de teams kon “honderd gigabyte aan data, ongeveer gelijk aan 142 cd’s” downloaden. In een reactie tegenover de teams stelden medewerkers van het Pentagon dat de “testresultaten in sommige gevallen onrealistisch” waren.

Wapensystemen niet aangepast

GAO stelt dat alle proeven die het uitgevoerd heeft, betrekking hadden op wapensystemen die nog in ontwikkeling zijn. De hackers hebben dus geen toegang gekregen tot wapensystemen die nu in gebruik zijn en die tegen de Verenigde Staten in kunnen zetten. Maar er wordt wel gewaarschuwd: als de nieuwe wapensystemen in gebruik genomen worden, is de bedreiging zeer reëel.

“Het ziet er niet goed uit, tenzij ze dit zien als een wake-up call en serieuze actie ondernemen”, aldus Christina Chaplin, een van de medewerkers van de GAO die meehielp bij het samenstellen van het rapport tegenover de site ZDNet. De problemen worden echter nog niet heel voortvarend aangepakt.

“Een van de testrapporten wees bijvoorbeeld uit dat slechts 1 van de 20 cyberkwetsbaarheden die in een eerdere test gevonden werden, ook echt aangepakt werd. Het testteam kon van dezelfde kwetsbaarheden gebruik maken om het systeem over te nemen. Toen gevraagd werd waarom de systemen niet aangepast waren, vertelden de vertegenwoordigers dat ze oplossing wel geïdentificeerd was, maar om een of andere reden niet geïmplementeerd. Ze wezen een aannemer aan als schuldige.”