Takecy Faceblog | Cyber News | Internet Security | Free Download
Celah Keamanan Di Jaringan Computer NASA
Jaringan
komputer internal NASA penuh lubang dan sangat rentan terhadap suatu
cyberattack eksternal, audit oleh Kantor badan Inspektur Jenderal telah
ditemukan. Lebih buruk lagi, tampak bahwa beberapa kerentanan yang
diketahui selama berbulan-bulan namun tetap unpatched.
"Enam Server komputer terkait
dengan aset TI [teknologi informasi] bahwa pesawat DNS dan berisi data
penting memiliki kerentanan yang akan memungkinkan penyerang meremote
untuk mengambil kendali atau membuat mereka tidak tersedia," kata
laporan audit yang dirilis Senin oleh Inspektur Jenderal Paul K. Martin .
"Penyerang
dapat menggunakan komputer yang dikompromikan untuk mengeksploitasi
kelemahan lain, kami mengidentifikasi, suatu situasi yang sangat bisa
menurunkan atau cacat operasi-operasi NASA," lanjut laporan itu. "Kami
juga menemukan server jaringan yang mengungkapkan kunci enkripsi,
terenkripsi
password , dan informasi akun user untuk penyerang potensial. "
Jaringan NASA lama dikenal lemah Hal
ini tidak lazim bagi lubang keamanan jaringan yang sebelumnya tidak
diketahui dapat ditemukan dalam organisasi besar. Dalam cahaya itu,'s
audit Martin mungkin telah dilihat sebagai positif untuk mengungkapkan
kerentanan .
Tapi telah lama diketahui bahwa
keamanan di jaringan NASA lemah. kantor Martin merilis sebuah laporan
audit sebelumnya hampir setahun yang lalu, tapi tak ada yang dilakukan
untuk memperbaiki situasi.
"Dalam sebuah laporan audit Mei
2010, kami merekomendasikan bahwa NASA segera membentuk suatu program
pengawasan keamanan TI untuk jaringan kunci," membaca laporan Senin.
"Namun, meskipun badan setuju dengan rekomendasi itu tetap
diimplementasikan pada Februari 2011."
"Sampai alamat NASA
ini kekurangan kritis dan meningkatkan IT-nya praktik keamanan," pergi
dengan mengatakan, "adalah lembaga yang rentan terhadap insiden komputer
yang dapat memiliki efek bencana parah terhadap aset lembaga,
operasional, dan personil."
Sebuah laporan Kantor Akuntabilitas Pemerintah pada bulan Oktober 2009
adalah sama penting badan, menemukan bahwa "NASA belum sepenuhnya dilaksanakan kegiatan
utama program keamanan informasi untuk memastikan bahwa kontrol yang
sesuai dirancang dan beroperasi secara efektif."
Server NASA telah dipecah
menjadi beberapa kali di masa lalu. Laporan baru Martin menyebutkan dua
pelanggaran serius pada tahun 2009, selama salah satunya penyusup
mencuri "22 gigabyte data ekspor-terbatas dari sistem komputer Jet
Propulsion Laboratory."
British hacker Gary McKinnon
sedang menunggu ekstradisi ke Amerika Serikat karena diduga hacking ke
jaringan milik NASA, serta orang-orang Departemen Pertahanan, pada tahun
2001 dan 2002.
Kantor Martin merekomendasikan
bahwa NASA "mempercepat pelaksanaan tahun 2010 rekomendasi Mei kita
untuk membangun program IT pengawasan keamanan untuk jaringan misi
lembaga-besar NASA."
Pemindaian untuk kerentanan Laporan
inspektur jenderal itu berdasarkan audit dari jaringan misi
lembaga-besar, menggunakan program yang disebut Nessus yang scan untuk
kerentanan. Peneliti menemukan 54 server komputer pada jaringan yang
diakses melalui internet, dan enam dari mereka server
memiliki risiko kerentanan tinggi terhadap cyberattack. Enam server
lainnya yang tidak secara langsung diakses melalui internet juga
memiliki krisiko erentanan tinggi .
Laporan itu mengatakan salah
satu server Internet yang dapat diakses bisa jatuh korban serangan
bouncing FTP, "sebuah bentuk cyberattack yang sangat efektif , dikenal
secara luas sejak tahun 1998." Jika serangan telah dieksploitasi,
"sebuah cybercriminal bisa menggangu secara signifikan operasi
spaceflight NASA dan mencuri data sensitif," kata peneliti.
Laporan itu tidak
mengidentifikasi lokasi dari server komputer, tapi mencatat bahwa NASA
manajer tetap memiliki semua lubang keamanan yang dibawa ke perhatian
mereka. tim manajemen NASA telah berjanji untuk menerapkan strategi
untuk penilaian risiko jaringan keagenan yang luas pada akhir Agustus,
dan bekerja sampai suatu pendekatan yang komprehensif untuk
mengidentifikasi dan mengatasi risiko dengan akhir September.
"Kami menganggap tindakan
mengusulkan chief information officer untuk menjadi responsif terhadap
rekomendasi kami," kata kantor inspektur jenderal. "Oleh karena itu,
rekomendasi diselesaikan dan akan ditutup setelah verifikasi bahwa
manajemen telah menyelesaikan tindakan perbaikan."
Anda dapat membaca laporan lengkap
di sini .