Giulio Boero su LinkedIn mi ha consigliato questa notizia dal lungo titolo "Security Controls at DoD Facilities for Protecting Ballistic Missile Defense System Technical Information DODIG-2019-034":
- http://www.dodig.mil/reports.html/Article/1713611/security-controls-at-dod-facilities-for-protecting-ballistic-missile-defense-sy/.
Gli ispettori del US Department of Defense (DOD) Office of Inspector General (OIG) hanno elencato le carenze in materia di sicurezza informatica presso l'US ballistic missile defense systems (BMDS).
In sintesi:
- non è presente un meccanismo di autenticazione a 2 fattori;
- le vulnerabilità di rete non sono state mitigate;
- i rack non sono chiusi a chiave;
- i media rimovibili non sono sufficientemente monitorati e protetti;
- le trasmissioni non sono cifrate;
- non è attivo un IDS sulla rete classificata;
- non sono disponibili giustificazioni scritte per elevare i privilegi degli utenti.
Nulla di nuovo o di specifico. Certamente alcune cose fanno paura.
Però segnalo che tutto manca di contesto. Per esempio: i rack non sono chiusi a chiave, ma l'accesso al data centre è controllato? quali vulnerabilità di rete non sono state mitigate e si tratta di vulnerabilità visibili all'esterno della rete?
Alcune cose, però, sono ingiustificabili, come per esempio l'assenza di 2FA e di trasmissioni cifrate.
Insomma: notizia che mi ha impressionato soprattutto perché vedo che negli USA rendono pubbliche queste cose.
Nessun commento:
Posta un commento