Alguna que otra vez hemos oído alguna noticia sobre la NASA y sus, deficientes, medidas y procedimientos de seguridad, al menos, en cuanto a seguridad de la información se refiere y, la verdad, si tenemos en cuenta la clase de proyectos en los que trabajan, algunos de sus fallos son bastante preocupantes. Tras la gran brecha de seguridad que se detectó en la NASA en el año 2009, se ha llevado a cabo una auditoría inicial, un plan de acción y una auditoría de revisiones técnicas que se acaba de hacer pública con los riesgos que se detectaron, los que se han mitigado y lo que queda por resolver.
La historia, como comentábamos, se remonta al año 2009, cuando se detectó un acceso no autorizado a la red de la NASA que fue capaz de acceder a la misma red que tiene el control de proyectos tan críticos como el telescopio espacial Hubble o la mismísima Estación Espacial Internacional. Además, en ese mismo año, la seguridad de la red del Laboratorio de Propulsión fue vulnerada y un grupo de hackers fue capaz de extraer 22 GB de información y de abrir túneles entre la red de la NASA y 3.000 direcciones IP externas, localizadas en China, Estonia, Holanda o Arabia Saudí.
El informe técnico, titulado "Prácticas de seguridad inadecuadas que expusieron la red de la NASA a ciberataques", desarrolla el cúmulo de malas prácticas que llegaron a poner en peligro el programa espacial y, lógicamente, expone algunas recomendaciones y actuaciones que la agencia espacial estadounidense debería poner en práctica para que este tipo de situaciones no vuelvan a darse.
Encontramos que algunos servidores de la red de la agencia contenían vulnerabilidades de alto riesgo que se podía explotar desde Internet. Concretamente, seis servidores que estaban asociados al programa de control de vehículos espaciales y que contenían datos críticos, presentaban vulnerabilidades que permitían a un atacante, de manera remota, tomar el control del sistema o, directamente, dejarlo fuera de servicio. Además, una vez dentro de la red de la agencia, el atacante podía comprometer otro sistemas y explotar otras vulnerabilidades detectadas, una situación que podía poner en una situación muy grave las operaciones de la NASA. También encontramos servidores de los que se habían extraído claves de cifrado, contraseñas cifradas e información relativas a cuentas de usuario que podrían ser utilizados en ataques posteriores.
A día de hoy, la mayor parte de las vulnerabilidades han sido ya subsanadas pero, aún así, existe aún cierto riesgo en los sistemas de la NASA. Por un lado, la complejidad de los ataques demuestra que los sistemas de la agencia espacial son un objetivo de los ciberataques y, por otro lado, aunque en las conclusiones del informe se deja clara la necesidad de crear un equipo de Seguridad en la agencia, que hasta febrero de 2011 no ha podido crearse, por lo que, aún, no han podido aplicar un revisión en profundidad de los procedimientos y controles existentes en la agencia.
Todas estas deficiencias ocurrieron porque la NASA no había mitigado todos los riesgos encontrados en su red y, además, tardó demasiado tiempo en crear un comité de seguridad que asegurase la red y protegiese los sistemas. En mayo de 2010, una auditoría interna recomendó que la NASA debía establecer, inmediatamente, un grupo de seguridad que fuese responsable de asegurar todos los sistemas y la red de datos.
La verdad es que da bastante que pensar que algo así ocurra en una organización como la NASA y que llegasen a estar a ese nivel de exposición, sobre todo, siendo una organización como la que es.