La seguridad del Jet Propulsion Laboratory (JPL) de la NASA ha quedado totalmente ridiculizada por un informe publicado [PDF] a raíz de un incidente de seguridad que ocurrió en abril de 2018. En ese momento, al parecer los atacantes llegaron a la red interna del laboratorio a través de una Raspberry Pi conectada a la red. De ahí, con movimientos laterales parece que consiguieron implantarse durante un año en la red hasta que se descubrió. La peligrosidad del ataque no se fundamenta solo en la posibilidad de controlar ciertos experimentos o misiones, sino además de la posibilidad de tener acceso a la tecnología y conocimiento y que se investiga y desarrolla en esa red.
Ya en marzo de 2019 se advirtió en una carta de la Office of the Inspector General (OIG) de la propia NASA de las pobres prácticas de seguridad. Ahora es cunado se ha publicado un profuso informe al respecto.
El informe explica las deficiencias en la red, en las que prácticamente fallaban todos y cada uno de los procedimientos y técnicas básicas de ciberseguridad: desde una mala segmentación (con redes compartidas con terceros), hasta deficiencias en la monitorización, desde una mala interpretación de los logs, hasta administradores no cualificados, pasando por una evidente falta de protocolo de respuesta ante incidentes. Todo un despropósito que ha quedado al descubierto. Por poner un ejemplo, en la auditoría se encontraron 666 tickets abiertos de seguridad con la máxima criticidad (obligados a ser atendidos en menos de 30 días), de un total de más de 5000 abiertos.
Detalles publicados
El Laboratorio de Propulsión a Chorro (JPL, por sus siglas en inglés) de la NASA sufre de múltiples debilidades de ciberseguridad a pesar de los avances que ha logrado en tecnología espacial. Los investigadores analizaron los controles de seguridad de la red del centro de investigación después de una violación de la seguridad en abril de 2018, en la que una Raspberry Pi que no estaba autorizada para conectarse a la red JPL fue atacada por desconocidos. Los atacantes pudieron robar 500 Megabytes de datos de uno de sus principales sistemas de misión, y también aprovecharon esa oportunidad para encontrar una puerta de enlace que les permitiera profundizar en la red de JPL.
Al profundizar en el sistema, los delincuentes informáticos pudieron acceder a varias misiones importantes, incluida la Red de Espacio Profundo de la NASA, su red de instalaciones de comunicación para naves espaciales. Como resultado, los equipos de seguridad de algunos programas sensibles, como el Orion Multi-Purpose Crew Vehicle y la Estación Espacial Internacional, han optado por desconectarse de la red de la agencia.
Además de tener una visibilidad reducida de los dispositivos conectados a su red y de no mantener separadas las distintas partes de la misma, los investigadores también han encontrado casos de que los tickets de seguridad no se resuelven durante largos períodos de tiempo. En algunos casos, los boletos quedaron sin resolverse por hasta 180 días. Los investigadores también han notado que las prácticas de respuesta y manejo de incidentes de JPL se desvían de las recomendaciones de la NASA.
La OIG recomendó una solución para todos esos problemas, y la NASA aceptó todos ellos excepto uno: establecer un proceso formal de búsqueda de amenazas para encontrar fallas antes de que incluso causen problemas. Verificará si JPL sigue adelante antes de cerrar la investigación por completo.