Revista Ciencias del Universo

La NASA reconoce que su sistema informático es 'altamente vulnerable'

Por Quantum-Rd @Quamtum


El sistema informático de la NASA es "altamente vulnerable" a la piratería informática, según un informe interno que cita varios ejemplos de ciberataques contra la agencia espacial estadounidense. "Constatamos que los servidores informáticos del total de las misiones de la agencia son altamente vulnerables a ser explotadas desde internet", escribe el inspector general de la NASA, Paul Martin, en una auditoría sobre la red de seguridad de la agencia espacial.
El documento menciona seis servidores informáticos vinculados a sistemas de control de naves espaciales. Estos sistemas contienen datos sensibles vulnerables a ataques de piratas informáticos que podrían tomar el control y volverlos inservibles. Además, "una vez en la red informática de control de misiones, (los piratas informáticos) podrían usar las computadoras comprometidas para explotar otras debilidades que identificamos", prosiguen los autores del informe.
"Una situación así podría dañar gravemente o paralizar las operaciones de la NASA", estimaron. Los expertos también descubrieron una red de servidores en la NASA que revelan códigos de encriptado y datos relativos a los usuarios de estas redes, informaciones que podrían -eventualmente- ser explotadas por piratas.

Gary McKinnon, el presunto 'hacker' que fue arrestado en 2002 después de que la justicia estadounidense le imputara cargos de acceso ilegal a ordenadores, entre los que se incluían los de la NASA y la CIA, causando daños valorados en 700.000 dólares.

"Estos datos son sensibles y dan a los potenciales piratas otras vías de acceso no-autorizado a redes informáticas de la NASA", señala el inspector en el informe. "Hasta que la NASA no ponga fin a estas graves deficiencias y mejore la seguridad en materia de tecnologías de la información, la agencia seguirá siendo vulnerable a esta clase de penetraciones, lo cual podría tener consecuencias graves o incluso catastróficas para sus redes, sus operaciones y su personal", advierte el inspector general.
La NASA pidió a la inspección general, un servicio interno, que hiciera una auditoría de sus redes informáticas tras haber sufrido numerosas invasiones que, según el informe de 17 páginas, condujeron en enero de 2009 al robo de 22 gigabytes de datos de un servidor del Jet Propulsion Laboratory (JPL). El mismo año, "las carencias en la configuración del sistema informático permitieron a los piratas más de 3.000 accesos no-autorizados con direcciones IP (protocolo de internet) de China, Holanda, Arabia Saudita y Estonia, precisa el informe.
Según el inspector general, la NASA tiene la responsabilidad de estos incidentes, dado que la agencia no tomó suficientemente en serio tales riesgos ni hizo lo necesario para neutralizarlos. "La NASA fue lenta para establecer las responsabilidades en su propio seno en materia de seguridad informática, a fin de garantizar que sus redes de computadoras y servidores estén suficientemente protegidos", insistió.
El inspector general lamenta también que la NASA todavía no haya aplicado las medidas que se le recomendaron en mayo de 2010 en esta materia.
Fuente: NASA
El 'bug' en una cuenta de My NASA nos muestra el logo cambiado por el de 'Woody, el pájaro loco'.

Quantum opina:
Apenas un día después de reconocer su vulnerabilidad, la NASA sigue con algunos errores que todavía persisten en su propia página web. Según Alonso Vidales, experto en seguridad informática, el sitio web oficial de la agencia espacial de EEUU, contiene 'bugs' que no han sido solucionados. Concretamente, se trata de una vulnerabilidad XSS (Cross Site Scripting), que consiste en la posibilidad de introducir y ejecutar código de 'scripting' (como JavaScript) en un sitio web ajeno a través, por ejemplo, de un formulario.
"Si se mete un 'tag stript' en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el 'tag script' con lo que se permitirá inyectar código JavaScript desde cualquier otra página" dice Vidales. "Para evitar que esta vulnerabilidad fuese crítica, en un primer momento dejaron de mostrar estos datos en los lugares en los que eran públicos; actualmente solicitan el nombre cada vez que comentas algo, verifican mediante JavaScript si no hay inyección, y luego el comentario pasa una verificación, que supongo será humana", apunta el experto.
Para demostrar que el 'bug' sigue ahí, Alonso nos pasa un usuario y una contraseña para entrar en una cuenta de My NASA que tiene el logo cambiado por el de 'Woody, el pájaro loco', una imagen que se encuentra alojada en su propio servidor. Haz la prueba, y luego nos cuentas.


Volver a la Portada de Logo Paperblog