Después de haber visto, en menos de un año, cómo una central nuclear se puso en jaque por un virus, caer la web de la mismísima CIA o que los aviones no tripulados de Estados Unidos dejasen de volar por culpa de un virus en sus sistemas, entidades y Administraciones Públicas deberían preocuparse mucho más por la seguridad e integridad de sus sistemas. De hecho, uno se plantea si sonados son los casos que conocemos, ¿cómo serán aquéllos casos que no salen a la luz pública? Parte de la respuesta a esta pregunta saldrá de un informe de una comisión del Congreso de Estados Unidos que, por increíble que parezca, ha estado intentando esclarecer un hecho algo oscuro: durante los años 2007 y 2008, dos de sus satélites fueron hackeados.

Increíble pero cierto, el satélite de observación de la Tierra Landsat 7, gestionado por la NASA, sufrió “una interrupción” de 12 minutos en los meses de octubre de 2007 y julio de 2008, al igual que el satélite Terra (EOS AM-1), un satélite de investigación científica también de la NASA, que también experimentó “una interrupción” de unos dos minutos en junio de 2008 y de unos 9 minutos en octubre de 2008.

¿Una interrupción? Pues sí, una interrupción es, en el fondo, una manera muy educada de decir que los satélites fueron hackeados. Concretamente, los hackers accedieron a través de una estación de seguimiento que está emplazada en Noruega, concretamente la Estación de Satélites de Svalbard, en Spitsbergen, al menos eso es lo que ha trascendido del informe preparado por la Comisión Económica EE.UU.-China y la Comisión de Seguridad. Además, en este informe se comenta que esta base de seguimiento utilizaba, directamente, una conexión a Internet para enviar y recibir archivos y datos, por lo que podía ser presa fácil.

¿Comisión Económica EE.UU.-China? Sorprende un poco que una comisión con este nombre esté implicada en la investigación pero, según parece, el dedo acusador apunta, precisamente, al gigante asiático como director de este ataque, si bien ésta, a través de un portavoz de su embajada en Washington D.C. se ha apresurado a negar cualquier tipo de vinculación de su gobierno con acciones que sirvan para desestabilizar a un país con el que tienen lazos comerciales.

Aunque los satélites no son militares y se emplean para vigilar el clima y el terreno, los hackers lograron hacerse con el control de éstos aunque, realmente, no llegaron a ejecutar ninguna orden o acción sobre éstos. Y a pesar de no llegar a pasar nada, más allá de que en la NASA perdiesen el control de sus satélites, los atacantes pudieron manipular la información que estos satélites transmitían o, incluso, haber accedido a otros satélites con información mucho más sensible o de índole estratégico-militar.

¿Una base de seguimiento de satélites que utiliza una conexión directa a Internet? Pues si ésto ha trascendido a los 3 años de ocurrir, ¿qué más fallos de seguridad estarán siendo explotados sin el conocimiento de sus gestores? Quizás sea buen momento para reflexionar e iniciar un proceso de auditoría.

Alguna que otra vez hemos oído alguna noticia sobre la NASA y sus, deficientes, medidas y procedimientos de seguridad, al menos, en cuanto a seguridad de la información se refiere y, la verdad, si tenemos en cuenta la clase de proyectos en los que trabajan, algunos de sus fallos son bastante preocupantes. Tras la gran brecha de seguridad que se detectó en la NASA en el año 2009, se ha llevado a cabo una auditoría inicial, un plan de acción y una auditoría de revisiones técnicas que se acaba de hacer pública con los riesgos que se detectaron, los que se han mitigado y lo que queda por resolver.

La historia, como comentábamos, se remonta al año 2009, cuando se detectó un acceso no autorizado a la red de la NASA que fue capaz de acceder a la misma red que tiene el control de proyectos tan críticos como el telescopio espacial Hubble o la mismísima Estación Espacial Internacional. Además, en ese mismo año, la seguridad de la red del Laboratorio de Propulsión fue vulnerada y un grupo de hackers fue capaz de extraer 22 GB de información y de abrir túneles entre la red de la NASA y 3.000 direcciones IP externas, localizadas en China, Estonia, Holanda o Arabia Saudí.

El informe técnico, titulado “Prácticas de seguridad inadecuadas que expusieron la red de la NASA a ciberataques”, desarrolla el cúmulo de malas prácticas que llegaron a poner en peligro el programa espacial y, lógicamente, expone algunas recomendaciones y actuaciones que la agencia espacial estadounidense debería poner en práctica para que este tipo de situaciones no vuelvan a darse.

Encontramos que algunos servidores de la red de la agencia contenían vulnerabilidades de alto riesgo que se podía explotar desde Internet. Concretamente, seis servidores que estaban asociados al programa de control de vehículos espaciales y que contenían datos críticos, presentaban vulnerabilidades que permitían a un atacante, de manera remota, tomar el control del sistema o, directamente, dejarlo fuera de servicio. Además, una vez dentro de la red de la agencia, el atacante podía comprometer otro sistemas y explotar otras vulnerabilidades detectadas, una situación que podía poner en una situación muy grave las operaciones de la NASA. También encontramos servidores de los que se habían extraído claves de cifrado, contraseñas cifradas e información relativas a cuentas de usuario que podrían ser utilizados en ataques posteriores.

A día de hoy, la mayor parte de las vulnerabilidades han sido ya subsanadas pero, aún así, existe aún cierto riesgo en los sistemas de la NASA. Por un lado, la complejidad de los ataques demuestra que los sistemas de la agencia espacial son un objetivo de los ciberataques y, por otro lado, aunque en las conclusiones del informe se deja clara la necesidad de crear un equipo de Seguridad en la agencia, que hasta febrero de 2011 no ha podido crearse, por lo que, aún, no han podido aplicar un revisión en profundidad de los procedimientos y controles existentes en la agencia.

Todas estas deficiencias ocurrieron porque la NASA no había mitigado todos los riesgos encontrados en su red y, además, tardó demasiado tiempo en crear un comité de seguridad que asegurase la red y protegiese los sistemas. En mayo de 2010, una auditoría interna recomendó que la NASA debía establecer, inmediatamente, un grupo de seguridad que fuese responsable de asegurar todos los sistemas y la red de datos.

La verdad es que da bastante que pensar que algo así ocurra en una organización como la NASA y que llegasen a estar a ese nivel de exposición, sobre todo, siendo una organización como la que es.

En un post donde se comienza justificando las virtudes comúnmente asociadas con el movimiento open source —-e.g., innovación, libertad, revolución—- que benefician a usuarios y desarrolladores, Jim Curry anuncia una “nueva era de libertad para el mercado de la nube”. En este sentido, OpenStack es:

Para producir la plataforma Open Source de Cómputo en la Nube que además de ubicua satisfaga las necesidades de las nubes públicas y privadas sin importar el tamaño, por ser fácil de implementar y escalable de forma masiva.

OpenStack no inicia su camino desde cero. De hecho, en el se suman las contribuciones de dos organizaciones independientes: la experimentada empresa Rackspace y la NASA, quien aporta la plataforma Nebula. Desde el punto de vista técnico, son dos los proyectos principales:

1. Almacenamiento de Objetos OpenStack: Para crear clusters de almacenamiento distribuido.

2. Cómputo OpenStack: Para administrar las tareas de cómputo para almacenamiento.

Más de 100 desarrolladores de software provenientes de más de 25 compañías —-de hardware, software, hosting, servicios, entre otras—- están definiendo el plan de trabajo para OpenStack.

Hablar de apertura suena políticamente correcto, pero ¿qué hay de los compromisos? Ellos dicen que

1. Producirán verdadero software open source, sin límites artificiales, ni extraños modelos de licencias híbridos —-libre y de pago, según el caso—-. Sólo usarán la licencia Apache 2.0.

2. Seguirán un proceso de diseño abierto, con la comunidad de por medio y encuentros frecuentes para definir los pasos a seguir.

3. Todo el desarrollo será abierto, así que el código fuente estará disponible en un repositorio público para simplificar, y aumentar, la participación.

4. Mantendrán una comunidad abierta, saludable, vibrante de desarrolladores y usuarios. Todo será documentado, abierto y transparente.

Me complace saber de estos proyectos en los que —-como sucede con MeeGo—- se busca que todos los participantes resulten beneficiados. Se nota en OpenStack subyace una importante organización con las ideas muy claras.

Web Fire Mapper muestra el mapa político del mundo, dividido por países y estados, posicionando cada uno de los fuegos mediante llamativos puntos rojos.

Dispones de varias lupas para acercar o alejar una región en concreto, y puedes mover la imagen para centrar tu visión en cualquier parte del globo. Las distintas herramientas para realizar zoom están agrupadas a la izquierda de la pantalla.

Desde la columna lateral de la derecha podemos ajustar los distintos parámetros utilizados para generar el resultado. Podemos escoger el sistema de detección preferente, la fuente del satélite, el periodo de días (desde 24 horas a una semana), la región de interés, conocer la fecha de la última actualización y otras opciones de menor interés.

Enlace: FIRMS Web Fire Mapper | Vía: la Cartoteca