lunes, 30 de mayo de 2016

Diskettes para controlar los arsenales nucleares

Me entero hoy por las noticias de algo que tiene poco de novedoso: Según un informe interno (aunque público), resulta que el Departamento de Defensa de los EE.UU. está utilizando floppies de 8 pulgadas en la gestión de cosas tan críticas como su armamento nuclear.

Y digo que tiene poco de novedoso porque, según se indica en el propio informe, llevan utilizando este sistema, hoy obsoleto, desde aquellos tiempos en que era tecnología punta. En otras palabras, más de 50 años.

No es una situación que afecte únicamente a Defensa. El nombre del informe es de por sí revelador y podría traducirse (al menos, es la traducción que a mí se me ocurre) como "Las agencias federales deben resolver el problema de esos sistemas heredados que van acumulando años".

Así, el Tesoro de ese país utiliza sistemas aún más antiguos. Justicia o la Seguridad Social disponen de entornos programados en COBOL que pasan de los tres decenios. Y van camino del medio siglo algunos subsitemas de Comercio, que después se fueron modernizando hasta usar hoy Windows Server 2003, algunas versiones obsoletas de Oracle y aplicaciones realizadas en FORTRAN. ¡Incluso hay quien aún mantiene sus propios programas escritos en ensamblador!

El autor, David A. Powner, señala los problemas que esto conlleva: muchos sistemas, que ya dejaron de recibir soporte por parte de las empresas que los crearon,  requieren consumibles y piezas de recambio difíciles de encontrar. Ni tampoco es fácil dar con personal con conocimientos en estas áreas.

En definitiva, nos encontramos con entornos llenos de vulnerabilidades que nunca serán corregidas y cuyos costes de explotación van incrementándose y comiéndose buena parte del presupuesto TIC que sería necesario invertir en innovar un poquito y mejorar cuatro cosillas.

Como un ejemplo de hasta dónde han llegado las cosas, Powner cuenta como la SSA se ha visto obligada a contratar a programadores jubilados porque pocos de los que están activo conocen el lenguaje COBOL. Que dejen pasar otra década sin hacer nada, a ver cómo se las arreglan...

Da miedo pensar en ello. Sistemas críticos que cada vez son más difíciles de mantener y, por tanto, son mantenidos en peores condiciones. Llenos de vulnerabilidades porque fueron creados en un tiempo en que la seguridad no era entendida en la misma forma en que la vemos hoy en día. Que pueden venirse abajo ellos solitos por averías de componentes que llevan demasiado tiempo funcionando.

Ahora bien, hay algo que, si cabe, me asusta más. Algunas de las agencias mencionadas en el informe planean sustituir a corto plazo sus sistemas antiguos por otros más modernos y acordes al estado actual de la tecnología. Como el Departamento de Defensa, que quiere hacerlo para finales del ejercicio fiscal de 2017.

Espero que lo hagan bien, porque lo que tienen actualmente al menos ha demostrado cierto grado de fiabilidad. Me preocupa eso de escribir tantas líneas de código en tan poco tiempo. No quisiera pensar en las consecuencias de una mala selección de infraestructuras TIC, desarrollos defectuosos o incorrectas integraciones entre subsistemas.

Por no hablar de si el personal informático cuenta o no con unos conocimientos actualizados que, hasta ahora, no habían necesitado.



NOTA 1: El informe mencionado tiene, como mínimo, una segunda lectura relacionada con la temática de este blog. En particular, con la Inteligencia de Fuentes Abiertas (OSINT).

En poco más de una veintena de hojas se van enumerando sistemas operativos, gestores de bases de datos, lenguajes de desarrollo y otras características de los entornos utilizados en diversas agencias gubernamentales. Más aún, en algunos casos se indica que existe un plan de actualización... y se hace mención de las tecnologías en que se basarán los nuevos sistemas y cuándo serán puestas en marcha.

Información toda ella de gran utilidad para un potencial atacante.

NOTA 2: Saber qué es un floppy de 8 pulgadas no es precisamente síntoma de juventud.

Para quienes lo ignoren, se trata de un diskette (un disco flexible) con capacidad, en sus versiones más "modernas", de hasta 1,2 megabytes. Y, si no te aclaras fuera del sistema métrico decimal, 8 pulgadas vienen a ser 20 cm.

No hay comentarios:

Publicar un comentario