Servery NASA měly kritické zranitelnosti

Šest serverů NASA obsahovalo kritickou bezpečnostní zranitelnost, která mohla údajně ohrozit projekty raketoplánů, Mezinárodní kosmické stanice i Hubbleova dalekohledu.


Problém byl zjištěn při bezpečnostním auditu sítě NASA, o němž bylo rozhodnuto už asi před rokem, ale proveden byl teprve nyní. Zjištěny byly i další nedostatky odkrývající přístup k citlivým informacím. Ze serverů se daly stáhnout údaje o uživatelských jménech a heslech. Ty byly sice uloženy v šifrované podobě, útočník se ale mohl dostat i k šifrovacím klíčům. Výsledkem mohl být průnik do velké části vnitřní sítě NASA. Na jiný server mělo být možné podniknout FTP útok a vyřadit ho z provozu množstvím zaslaných dat.

Ze zprávy vyplývá, že problémem nebyla nějaká neopravená softwarová zranitelnost, ale nevhodná konfigurace serverů – prostě lajdácká práce IT oddělení NASA. Agentura by nadto měla mít vypracovaný lepší plán pro řízení rizik i z toho důvodu, že v minulosti byla oblíbeným terčem útočníků. CIO NASA Linda Cureton přislíbila nápravu, a to včetně rozsáhlé kontroly bezpečnosti těch systémů NASA, které nejsou připojeny k Internetu.

Stávající kontrola přitom použila jen běžné, nikoliv příliš sofistikované testovací postupy – hledání zranitelnosti programem Nessus, skenování portů pomocí NMap a ruční kontrolu zjištěných otevřených portů.

 

Poznámka: Americký Computerworld bohužel neuvádí, co přesně se myslí „ohrožením misí", asi těžko přímo nějaká manipulace s Hubbleovým dalekohledem nebo raketoplány...

 











Komentáře