查看原文
其他

NASA 遭攻击,安全 Bug 仍未解决!

Davey Winder CSDN 2019-07-11


近日,美国国家航空航天局(NASA)已证实其喷射推进实验室(Jet Propulsion Laboratory,简称JPL)遭到了黑客入侵。

作者 | Davey Winder

译者 | 弯月,责编 | 郭芮

出品 | CSDN(ID:CSDNnews)

以下为译文:

NASA近日公布了美国监察长办公室的一份审计文件。文中揭露黑客攻击了一台连接到JPL服务器的未经授权的树莓派计算机,然后以此为跳板进一步深入到了NASA的网络。这名黑客究竟深入到哪里了?显然黑客已经深入到了深空网络(Deep Space Network,简称DSN)的无线电天文望远镜阵列以及JPL的许多其他系统。


受2018年4月发生的违规事件(2018年4月,黑客攻入NASA的网络并从喷气推进实验室JPL盗走了约500M与火星任务相关的数据)的严重影响,负责国际空间站的Johnson航天中心决定完全断开与网关的连接。该审计报告指出,“Johnson航天中心的官员担心网络攻击者可能通过网关横向入侵到他们的任务系统,并可能获得访问权,向利用这些系统的人类太空飞行任务发起恶意信号。”


这种攻击听起来很严重。更重要的是,该报告称,尽管今年3月Johnson已经恢复使用了部分航天器数据,但截止到目前,“Johnson尚未恢复使用所有通信数据。”


即使不深入了解该审计文件中发现的每一个技术细节,你也可以看出JPL网络安全确实很糟糕。审计人员详细指出了不良IT资产,安全违规单据解决方案的缺陷,以及修补已知漏洞的延误。总体看来,JPL的网络似乎忽略了所有的基础安全条例:系统管理员缺乏安全认证,各个岗位没有安全培训,JPL与主要的NASA安全运营中心不同,甚至没有全天候的事件报告功能!


根据信息安全分析师Mike Thompson的说法,如果黑客想进一步攻击,那下一个目标就是美国宇航局。“许多人认为他们只与太空相关,”Thompson说,“但他们的研究和开发深度涉及尖端科学的专利,这些专利都是各个国家垂涎三尺的技术。”


白帽黑客John Opdenakker在谈话中承认:“黑客仍然可能在他们的网络中,而他们自己可能都不知道”,而且我们不明白,为什么该审计报道在所有问题还未解决之前就公布了?事实上,该报告还指出:“尽管JPL已经在努力保护这些资产,但他们的系统仍存在严重漏洞,可能会导致他们再次面临网络入侵的风险,而且有可能导致关键信息被盗。”


我们不应该低估NASA在网络安全方面所面临的巨大挑战,毕竟科学家们都愿意与其合作。AmTrust International的安全负责人Ian Thornton-Trump举例说,“我们不可能简单地用防火墙将俄罗斯拒之门外,因为你还得与俄罗斯合作。所以从信息安全的角度看,NASA几乎不可能做到坚不可破。”


Thornton-Trump的评论与审计报告的结论产生了共鸣,该报告指出:“NASA无法防范一般的网络攻击和先进的持续性威胁,特别是作为太空探索和航空研究全球领导者的地位......”


但是对于此次事件,美国宇航局首席信息官Renee P. Wynn和NASA管理办公室主任Marcus Watkins在后续给助理检查长的一封信中进行了审计,并在审计报告中提出了10项建议。美国国家航空航天局同意了其中9项建议,预计这些建议的实现日期为2019年7月30日-2020年1月15日。美国宇航局没有同意的一项建议是:建立一个正式的、有记录的威胁搜寻过程,美国宇航局表示:“这不是承担NASA安全工作的加州理工学院的责任。”


https://www.forbes.com/sites/daveywinder/2019/06/20/confirmed-nasa-has-been-hacked/#2df73746dc62

本文为 CSDN 翻译,转载请注明来源出处。

【End】

 热 文 推 荐 

苹果首席设计官将离职;华为将从世界范围招揽天才少年;新版 Edge 更新 | 极客头条

六维图见过么?Python 画出来了!

想换行做 5G 的开发者到底该咋办?

老司机教你如何写出没人敢维护的代码!

Python有哪些技术上的优点?比其他语言好在哪儿?

上不了北大“图灵”、清华“姚班”,AI专业还能去哪上?

公链史记 | 从鸿蒙初辟到万物生长的十年激荡……

边缘计算容器化是否有必要?

马云曾经偶像,终于把阿里留下的1400亿败光了!

点击阅读原文,输入关键词,搜索CSDN文章。

你点的每个“在看”,我都认真当成了喜欢

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存