Una auditoría realizada por la Oficina del Inspector General ha encontrado que la red informática interna de la NASA está llena de agujeros y es extremadamente vulnerable a un ataque cibernético externo. Lo que es peor, parece que varias de las vulnerabilidades se conocían desde hace meses, aunque siguen sin parchear. "Seis servidores asociados con TI activos, usados para controlar y contener los datos críticos son vulnerabilidades y podrian permitir a un atacante remoto tomar el control de o hacer que no estén disponibles," el informe de auditoría, publicado hoy (28 de marzo) por el Inspector General Pablo K. Martin dijo.
"El atacante podría utilizar los ordenadores comprometidos para explotar las debilidades que hemos identificado, una situación que podría degradar gravemente o paralizar las operaciones de la NASA", continúa el informe. "También se encuentran afectados los servidores de red que podrían revelar las claves de cifrado, contraseñas encriptadas, e información de las cuentas de usuario a atacantes remotos."
No es inusual que los agujeros puedan encontrarse en grandes organizaciones. En ese sentido, la auditoría de Martin pudo haber sido vista como positiva para revelar las vulnerabilidades.
Pero es bien sabido que la seguridad en las redes de la NASA es débil. la oficina de Martin publicó un informe de auditoría anterior, hace casi un año, y desde entonces nada se ha hecho para remediar la situación.
"En un informe de auditoría de mayo de 2010, se recomienda que la NASA inmediatamente a establecer un programa de supervisión de seguridad de TI para esta clave de la red", dice el informe de hoy. "Sin embargo, a pesar de que la Agencia estaba de acuerdo con la recomendación esta, seguía sin aplicarse en febrero de 2011."
"Hasta que la NASA se ocupe de estas deficiencias críticas y mejora de sus prácticas de seguridad de TI," dijo, "la Agencia es vulnerable a posibles incidentes, que podría tener un severo efecto catastrófico en el patrimonio de la Agencia, las operaciones y el personal."
Un informe de la Oficina de Contabilidad del Gobierno en octubre de 2009 fue igualmente crítico de la agencia, contrastaba que "La NASA todavía no ha aplicado plenamente las actividades clave de su programa de seguridad de la información para asegurar que los controles están adecuadamente diseñados y operando de manera efectiva."
Los servidores de la NASA se han dividido en muchas ocasiones antes. Un nuevo informe de Martin menciona dos infracciones graves en 2009, durante una de los cuales los intrusos robaron "22 gigabytes de datos restringidos para exportación de un sistema informático Jet Propulsion Laboratory (JPL)."
El hacker británico Gary McKinnon está a la espera de extradición a los EE.UU. por la presunta piratería en las redes de la NASA, así como los del Departamento de Defensa, en 2001 y 2002.
la oficina de Martin recomienda a la NASA "acelerar la aplicación de nuestras 05 2010 recomendaciones y a establecer un programa informático de supervisión de seguridad para la red de la NASA."
Informe Completo: http://oig.nasa.gov/audits/reports/FY11/IG-11-017.pdf
Fuente: http://www.thehackernews.com
0 comentarios:
Publicar un comentario