Claudio Tamburrino

NASA, colabrodo spaziale?

Persi o rubati decine di portatili e subiti più di 500 attacchi. Il tutto praticamente senza una seria politica di sicurezza informatica per l'agenzia spaziale

Roma - Tra aprile 2009 e aprile 2011 la NASA ha perso o subito il furto di 48 portatili: con la conseguenza di rischiare di vedere informazioni sensibili e tecnologicamente rilevanti finire nelle mani sbagliate.

I dati relativi agli attacchi subiti dall'agenzia spaziale statunitense sono, in generale, preoccupanti: poco più di cinquemila attacchi diretti ai propri computer in appena un anno hanno portato all'accesso non autorizzato al suo sistema o all'istallazione di malware. Alcuni, si ipotizza, collegati al crimine organizzato o a servizi segreti di paesi esteri. A dirlo è l'ispettore generale delle NASA, chiamato a testimoniare davanti al Congresso degli Stati Uniti sugli sforzi sostenuti in materia di sicurezza informatica e agli episodi e agli attacchi subiti dall'agenzia nell'ultimo periodo.

L'ispettore racconta, inoltre, che l'agenzia avrebbe subito 47 attacchi particolarmente consistenti, definiti Advanced Persistent Threats (APT), portati avanti da gruppi attrezzati: si tratta di minacce che sono più complesse da gestire, come keylogger e trojan, e sul totale sono andate a buon fine (con conseguenti danni per la sicurezza della NASA) tredici offensive. Collegati a questi attacchi vi sarebbero alcuni indirizzi IP cinesi che avrebbero avuto completo accesso ai sistemi del Jet Propulsion Laboratory (JPL), da cui avrebbero potuto ottenere le credenziali per altri sistemi NASA, modificare le specifiche di missione e "copiare, cancellare o modificare file sensibili".
Ci sono, poi, i laptop persi o rubati: in un caso un computer contenente algoritmi impiegati per controllare l'International Space Station (ISS); in un altro un dispositivo contenente informazioni relative ai programmi di controllo della capsula Orion e del programma spaziale Constellation.

Dati pericolosi soprattutto perché non cifrati: solo nel 54 per cento dei casi i computer delle agenzie federali statunitensi usano la crittografia, e all'interno della NASA questa pratica appartiene solo all'un per cento dei laptop.

In generale, dunque, si tratta di un problema generalizzato che continuerà a presentarsi almeno finché - dice l'ispettore generale - "non verranno implementate soluzioni di crittografia proprie e generalizzate". A questo bisogna aggiungere il dato relativo ai computer per cui si analizza la presenza di vulnerabilità tecniche (solo il 62 per cento) e quelli per cui si fa monitoraggio per patch software fondamentali (solo il 24 per cento dei casi).

Insomma: quello della sicurezza informatica sembra essere un problema generale e atavico per la NASA, che manca di politiche comuni a tutti i suoi sistemi e delle risorse per tutelare le informazioni che sono fondamentali per la sicurezza delle missioni.

Claudio Tamburrino
Notizie collegate
11 Commenti alla Notizia NASA, colabrodo spaziale?
Ordina
  • NASA = NUCLEO DI ASINI E SOMARI AFFUMICATI Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: NASA
    > NASA = NUCLEO DI ASINI E SOMARI AFFUMICATI
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Qui abbiamo dell'alto umorismo gente!
    non+autenticato
  • OK, è stato perso un laptop con dei comandi per la Stazione... anche se qualcuno li trovasse, cosa se ne fa? Per usarli servono le console della control room, con accesso controllato e dove c'è SEMPRE qualcuno (non mi immagino qualcuno entrare nella FCR-1 di Houston e dire "buongiorno, non mi conoscete, mando due comandi e poi vado via...").

    In più, il forward link è criptato, quindi la vedo difficile che da "casa" si riesca a mandare un comando, così a caso...

    In definitiva, non lo vedo come una minaccia alla sicurezza della NASA o dell'ISS, ma come una perdita economica per il fatto che probabilmente qualcuno ha dovuto rifare quei comandi.

    Mi pare più un esempio per dare contesto nel caso del report dell'ispettore della NASA, e per i giornali (e PI) che danno risalto alla notizia, come il solito sensazionalismo da mezzi di informazione...
    non+autenticato
  • non ha scusanti è semplicemente voluta. Non so perchè o con quale fine, ma non si dorme in campagna all'aria aperta con il sedere scoperto Occhiolino
    non+autenticato
  • gli idioti restano tali, anche se crittografati.

    - sconnettere i sistemi dalla rete,
    - evitare S.O. colabrodo,
    - evitare dati FUORI dagli uffici (il portatile? ma siete matti!!!), tu lavori in ufficio e quando esci non porti fuori nulla, punto e basta.
    - niente porte USB, masterizzatori, etc.
    - ip fissi,
    - solo i software indispensabili
    - niente utenti con privilegi di amministratore,
    - etc etc
    non+autenticato
  • E giusto per mangiarci un pò su...la crittografia deve essere propria!!
    Per limitare i danni intanto usare quelle standard gratuita pare brutto?!?
    I soliti affamati.
    non+autenticato
  • - Scritto da: attonito
    > gli idioti restano tali, anche se crittografati.
    >
    > - sconnettere i sistemi dalla rete,
    > - evitare S.O. colabrodo,
    > - evitare dati FUORI dagli uffici (il portatile?
    > ma siete matti!!!), tu lavori in ufficio e quando
    > esci non porti fuori nulla, punto e
    > basta.
    > - niente porte USB, masterizzatori, etc.
    > - ip fissi,
    > - solo i software indispensabili
    > - niente utenti con privilegi di amministratore,
    > - etc etc

    lol e dove le hai lette queste cose, nel manuale 'security for dummies'?Rotola dal ridere

    terminali tastiera+schermo+mouse, tutto centralizzato, sconnessi completamente da internet, magari su piattaforma proprietaria, una politica seria sul personale (di fiducia) ammesso ai server e ai dati

    forse (e ho forti dubi) si sarebbe al sicuro...
  • - Scritto da: TheOriginalFanboy
    > - Scritto da: attonito
    > > gli idioti restano tali, anche se
    > crittografati.
    > >
    > > - sconnettere i sistemi dalla rete,
    > > - evitare S.O. colabrodo,
    > > - evitare dati FUORI dagli uffici (il
    > portatile?
    > > ma siete matti!!!), tu lavori in ufficio e
    > quando
    > > esci non porti fuori nulla, punto e
    > > basta.
    > > - niente porte USB, masterizzatori, etc.
    > > - ip fissi,
    > > - solo i software indispensabili
    > > - niente utenti con privilegi di
    > amministratore,
    > > - etc etc
    >
    > lol e dove le hai lette queste cose, nel manuale
    > 'security for
    > dummies'?Rotola dal ridere

    si, seconda edizione ISBN-1219-233524-112192

    >
    > terminali tastiera+schermo+mouse, tutto
    > centralizzato, sconnessi completamente da
    > internet, magari su piattaforma proprietaria, una
    > politica seria sul personale (di fiducia) ammesso
    > ai server e ai
    > dati
    >
    > forse (e ho forti dubi) si sarebbe al sicuro...
    non+autenticato
  • La gente continuerebbe a segnare psw su foglietti ed a buttarli senza distruggerli ..
    non+autenticato
  • Infatti.

    In molti posti la sicurezza e un servizio. Ci sono dei super esperti che rompono le palle alla gente che lavora con le loro procedure, che nessuno e in grado di capire se sono utili e sensate.

    Tipo 10 password diverse. Tempi di attesa casuali per attivazione di un utenza che variano tra 1 15 giorni e i tre mesi, ecc.

    Poi tanti sicuramente ci sara un pc con utenza root/root (o con SO Windows) dove le password sono salvate in chiaro.
    non+autenticato
  • La sicurezza con password da digitare allunga la catena, e quindi la possibilità di un imbecille nella catena.
    Soluzione:
    -crittografia con algoritmo creato dalla lettura delle impronte.
    -I PC con dati sensibili non escono dalla sede
    -Inibire le porte a chiavette, ecc.
    A meno che NASA non voglia creare un po' di hype come accade con l'aifone...
    Ah, se uno perde il PC con le pwd scritte su un bel post-it appeso tra monitor e tastiera, non c'è OS che tenga.
    non+autenticato