Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties

Tussen 2009 en 2011 zijn er 48 mobiele systemen verloren of gestolen bij NASA, waarvan één codes bevatte om het International Space Station te bedienen, blijkt uit een onderzoek waarbij veel beveiligingsproblemen aan het licht kwamen.

NASA kampt met veel virus- en hack-aanvallen, blijkt uit het onderzoek van de inspectie van het ruimte-instituut. Zo rapporteerde NASA in 2010 en 2011 5408 beveiligingsincidenten, waarbij het ging om kwaadaardige software die geinstalleerd werd of ongeoorloofde toegang tot systemen. NASA heeft 550 omvangrijke systeemgroepen met daarop "informatie die criminelen graag in handen krijgen", aldus NASA-inspecteur Paul K. Martin tegen het Amerikaanse Congres.

Desondanks is het niet best gesteld met het beveiligingsbeleid, blijkt uit het onderzoek. Zo is slechts 1 procent van de laptops en draagbare apparaten van de organisatie versleuteld, wordt 24 procent van de computers gecontroleerd op aanwezigheid van kritieke softwarepatches en wordt 62 procent bekeken op technische kwetsbaarheden.

Het zoekraken van de onversleutelde laptop met codes om het ISS te bedienen is slechts een van de voorbeelden van de gevolgen van het gebrekkige beleid. Ook werd het netwerk van het Jet Propulsion Laboratory binnengedrongen waarbij onderzoek op een Chinees ip-adres uitkwam. De inbraak werd pas laat ontdekt en zou de hackers volledige controle over de systemen hebben gegeven. Het Jet Propulsion Laboratory is onder andere verantwoordelijk voor het Deep Space Network, dat gebruikt wordt voor de coördinatie van missies.

Moderatie-faq Wijzig weergave

Reacties (60)

Dit is toch wel heel ernstig. NASA is geen kleintje, ik had van hen wel beter verwacht. Het is toch niet zo raar om bij dergelijke kritische systemen encryptie toe te passen? En serieus, hoe raakt een laptop zoek. Zeker eentje waar ISS bedieningscodes op staan. Wat heeft de persoon verantwoordelijk voor de laptop op dat moment verteld? "Sorry, ik was dronken en toen was ie opeens weg?"...

Gaat NASA nu ook actie ondernemen om deze situatie te verbeteren?
Dit is toch wel heel ernstig. NASA is geen kleintje, ik had van hen wel beter verwacht.
Maakt niet uit hoe "goed" je organisatie is, dit soort dingen gebeuren. Het is ook niet zo verwonderlijk, want dit gaat volgens een heel simpel principe.

Om nooit informatie te verliezen, moet je _altijd_ _alles_ goed doen.
Om wel informatie te verliezen, hoeft er maar 1x iets verkeerd te gaan.

Ter illustratie: je kunt al je laptops wel laten versleutelen (bijvoorbeeld dmv. domain policies). Maar dan schrijft er iemand eens een keer een wachtwoord op een A4-tje en wordt die gestolen.

Wat ik veel belangrijker vind dan dat er een keer zo'n laptop verloren is gegaan: hoe snel zijn die wachtwoorden gewijzigd, na melding? Waren er systemen in plaats om om te gaan met dataverlies.

Preventie is beter dan genezen, maar dat neemt niet weg dat je dat laatste ook goed in de vingers moet hebben.
Fouten gebeuren, absoluut. Maar als maar slechts 1% versleuteld is, en er 48 mobiele systemen verloren gegaan zijn in 2 jaar tijd is dat echt wel een gebrekkig security-policy.

Werknemers die met gevoelige informatie over straat gaan moeten dan wel degelijk op hun verantwoordelijkheid worden aangesproken. Hoe kan het gebeuren dat de laptop gestolen is, wat voor maatregelen nemen zij om dit in de toekomst te voorkomen, dat soort dingen. Dat fouten menselijk zijn is geen excuus om alles maar te laten versloffen.

Je kunt er gewoon voor zorgen dat werknemers hun laptops versleutelen. Je kunt er ook voor zorgen dat gevoelige data niet op laptops terecht komt. Om op R_M's commentaar hierboven in te gaan betekent dat niet dat de gegevens maar op één locatie hoeven te zijn, NASA heeft wel meer dan één pand waar ze deze codes zouden kunnen opslaan zonder het op een mobiel systeem te zetten.
Een bedrijf zoals NASA beveiligen (kwa IT) is zeer complex en duur, ... heel duur. NASA staat onder constante budgettaire druk en moet voortdurend resultaten afleveren. In zo een situatie is het niet verwonderlijk dat er wat minder resources en budget is voor IT.
Mja, daar moeten dan misschien ook eens wetten voor komen ofzo.

Ik bedoel, stel dat ze onder budgetaire druk besluiten om hun afvalstoffen van het bouwen van raketten oid maar in het riviertje achter het lanceerplatform dumpen, levert dat gevaar op mens & milieu op. Daar wordt over het algemeen wel tegen opgetreden.

Iemand die er met de ISS vandoor gaat levert ook gevaar op voor mens & milieu, alleen op een wat minder directe manier. Dan mag daar toch ook tegen opgetreden worden? Natuurlijk is niet elke vorm van misbruik volledig uit te sluiten, maar een fatsoenlijk beveilgiingsbeleid zou wat mij betreft verplicht moeten zijn voor elke organisatie waarbij het in verkeerde handen komen van hun informatie tot ernstige gevaren voor de bevolking en het milieu kan leiden.
Dat bestaat al, financiële bedrijven moeten aan bepaalde ISO's voldoen en als overheid kan je dat ook dwingen voor NASA. Het is maar de vraag of dat haalbaar is.

Voor een bedrijf zoals NASA (dat meestal nog is opgesplitst in kleinere bedrijven) zo dit best een dure grap kunnen worden dat moeilijk te verdedigen is als IT niet je core is. Je kan in zo een omgeving ook moeilijk een standaard uitwerken, er zullen altijd wel apparaten of programma's zijn die admin rechten nodig hebben of op een andere manier afwijken.

Edit: Dat is trouwens niet alleen zo bij NASA, elk bedrijf of instelling dat bezig is met onderzoek heeft hier wel problemen mee.

[Reactie gewijzigd door IStealYourGun op 1 maart 2012 10:48]

"Sorry, ik was dronken en toen was ie opeens weg?"...
waarschijnlijk lag ie gewoon in een laptoptas in z'n huis, en werd er ingebroken. Je weet wel, van die simpele, stomme dingen, die iedereen wel eens overkomt. Ook hooggeplaatste figuren bij NASA.
Ik mag toch hopen dat je met een laptop waar dergelijke vertrouwelijke informatie op staat toch net iets anders omgaat dan met je gewone persoonlijke laptop. Sowieso snap ik niet dat dat niet gewoon op een vaste computer in een streng beveiligde NASA-vestiging staat, maar dat terzijde, als je zo'n laptop thuis hebt mag je die toch op zijn minst wel in een kluis leggen...
Mensen zijn geen robots MadEgg. Dagelijks worden er fouten gemaakt, daar kun je niets aan doen. Waar je wel iets aan kunt doen zijn de eventuele gevolgens van zo'n fout.

In dit geval is NASA gewoon zwaar nalatig met maar 1% van hun apparaten die versleuteld is. Ik ga er vanuit dat op meer dan 1% van hun apparaten gevoelige informatie staat.

Als je met informatie werkt waarvan iemands leven af kan hangen dan vindt ik dat daar zorgvuldig mee om moet worden gegaan. Dit zou ook gewoon kunnen worden afgedwongen met wetgeving, als dat al niet het geval is. NASA gewoon een paar miljoen boete die ze niet kunnen betalen...
Ik neem aan dat die mensen toch ook wel eens thuis willen werken. NASA is gewoon veel te laks met encryptie geweest. Volgens het artikel is slechts 1% van de mobiele devices versleuteld, en als er dan laptops gestolen worden, is men verrast dat er gevoelige data op straat ligt. Dat gebeurt ook bij justitie en defensie: nieuws: Britse ministerie van defensie raakt honderden pc's kwijt
In geval van een ramp/aanval kan het nuttig zijn snel ergens anders een noodcontrolecentrum op te trekken. Dat dergelijke codes ook op een laptop staan, is in dat licht niet zo vreemd. Ik denk dat men in Amerika ondertussen wel voorbereid is op scenario's waarbij vliegtuigen op belangrijke gebouwen vallen.

Probeer het maar eens uit leggen als een ramp bij Nasa resulteert in een stuurloos ISS dat op één of andere metropool dreigt neer te storten.

Dat die laptop nu op de salontafel, in een kluis of in Fort Knox ligt. Mensen die dergelijke info echt willen, krijgen ze uiteindelijk toch wel (tigerkidnapping of gelijkaardige methodes). Al wordt het risico op verlies bij een 'gewone' inbraak natuurlijk kleiner als je laptop op een beter beveiligde plaats ligt. Het feit dat er amper versleuteling wordt gebruikt, is natuurlijk belachelijk voor dergelijke organisatie.

[Reactie gewijzigd door R_M op 1 maart 2012 09:56]

Ik denk dat je iets teveel met je hoofd in Hollywood zit ;) Ik begrijp je reactie maar ik denk dat het resultaat van een neerstortende ISS op een metropool eerder 'lullig' is dan 'catastrofaal'.

Als je ziet hoe weinig er van satellieten overblijft, er komt wel eens een stuk in zee terecht (zoals bij de MIR bijvoorbeeld) en dat doen ze om de rommel niet op te hoeven ruimen. Ik denk dat het ISS meteen in stukken zou breken en dat de afzonderlijke stukken grotendeels opbranden in de dampkring, het schroot dat ervan overblijft zal niet dusdanig gevaarlijk zijn dat er doemscenario's voor moeten worden opgesteld.

Wel jammer want het is natuurlijk een stuk spectaculairder, dat ben ik met je eens :)
Dit gaat nu wel erg off-topic, maar bedenk dat het ISS net iets groter is dan de gemiddelde satelliet. + 2 ton voor een gemiddelde satelliet tegenover + 450 ton voor het ISS. Er is een reden waarom men die dingen, indien mogelijk, in zee laat storten. Een brokstuk van een paar honderd kilogram dat tegen dergelijke snelheid naar beneden valt, is gevaarlijk. De kans dat het op bewoond gebied valt, is relatief klein. Maar ze bestaat wel.
Kluis hoeft al niet, gewoon bitlocker of truecrypt doet al heel veel.
Mijn dataschijf daar staat ook niet echt iets op wat iemand anders niet zou mogen zien, toch is ze versleuteld onder het motto "gewoon omdat het kan". Buiten een klein performanceverlies is er niet echt een reden om geen encryptie toe te passen lijkt me.
"Tussen 2009 en 2011 zijn er 48 mobiele systemen verloren of gestolen bij NASA"

;(

Sorry hoor maar dat zijn 1.3 apparaten per maand die zoek raken... beetje triest...

"NASA heeft 550 systemen"

Dus in 3 jaar tijd raken ze afgerond doodleuk 10% van hun apparaten kwijt?!
"NASA heeft 550 systemen"

Dus in 3 jaar tijd raken ze afgerond doodleuk 10% van hun apparaten kwijt?!
nee. NASA heeft duizenden werknemers, en derhalve duizenden computers, laptops, etc.

Systemen zijn groepen computers die een functie/onderzoek/experiment doen. Het 'systeem' van de Spaceshuttle bestond uit 7 computers bijvoorbeeld. (dat is de 'boordcomputer'). Bedenk maar dat je voor een operatie als ISS waarschijnlijk een paar duizend servers online hebt.
"NASA heeft 550 systemen met daarop "informatie die criminelen graag in handen krijgen"

wie weet hoeveel 100en systemen met minder tot niet gevoelige informatie?
wie weet hoeveel 100en systemen met minder tot niet gevoelige informatie?
Precies wat ik dacht. Ook moet je niet vergeten dat hoewel aspecten van de raket-technologie zelf misschien wel een staatsgeheim zijn, in principe de NASA juist een organisatie is, die zoveel mogelijk informatie met de wereld wil delen.

Het onderzoek dat ze daar naar de ruimte, de sterren en de planeten doen, is juist ter verrijking van de gehele mensheid en niet om geheim te houden en alleen maar zelf beter van te worden.

Vandaar ook dat versleutelen van laptops natuurlijk geen prioriteit heeft. Als de laptop en data gestolen wordt, dan is dat doorgaans vooral vervelend omdat het betekent dat de onderzoeker (hopelijk tijdelijk) zijn middelen en gegevens kwijt is. Een maand later zou hij een mooi artikel, inclusief data, hebben gepubliceerd in een publiek wetenschappelijk tijdschrift, of op de website van NASA.
Sorry hoor maar dat zijn 1.3 apparaten per maand die zoek raken... beetje triest...
Ze hebben 19.000 werknemers (zegt Wikipedia). Laten we stellen dat in combinatie met alle leveranciers, partnerbedrijven, etc. er 50% daarvan een "mobiel apparaat" heeft. Dan is het verlies op jaarbasis plotseling nog maar (bij benadering) 50 op 10.000, oftewel 0,5%.

Dat is een heel redelijk gemiddelde. Bij een onderzoek van Intel kwamen ze uit op een jaarlijks laptopverlies van ~2.5% en over de levensduur van een laptop zelfs tot een kans van 7% dat hij verloren zou raken.

[Reactie gewijzigd door Keypunchie op 1 maart 2012 11:11]

Het is toch frappant dat een instelling die met uberprofessionele profielen werkt dergelijke fouten begaat. Dat het beleid de mist ingaat is 1 zaak maar als ze al niet kunnen rekenen op gezond verstand van de werknemers dan is heel het imago van NASA voor mij toch wel deels naar de vaantjes.

En het versleutelen van gegevens als er toegang kan gemaakt worden tot het ISS, dit zijn dus een zeer beperkt aantal laptops, zou toch de hoogste prioriteit moeten hebben. Dit draait niet meer om een researchartikel.
"Tussen 2009 en 2011 zijn er 48 mobiele systemen verloren of gestolen bij NASA"

;(

Sorry hoor maar dat zijn 1.3 apparaten per maand die zoek raken... beetje triest...

"NASA heeft 550 systemen"

Dus in 3 jaar tijd raken ze afgerond doodleuk 10% van hun apparaten kwijt?!
Ik denk niet dat ze bij de NASA slechts 550 machines hebben?
Ik zie systemen meer als in: 500 verschillende netwerkomgevingen, met elke hun eigen servers / clients... Dan zijn deze getallen marginaal... Wat er echter niet aan afdoet dat dit toch wel zeer bedrijfskritische/gevoelige computers zijn die verloren gaan
550 systeemGROEPEN met interessant info op, dus er zijn er nog andere waar nix belangrijk in te vinden is.

elke systeemgroep bestaat uit meerdere machines, van 2 tot 10.000 (niet overdreven in het geval van nasa).

Ze weten niet waar ze zijn, dat kan even goed in de onderste schuif van de bureau waar ooit een jobstudent op heeft gewerkt zijn en die dan verplaatst is naar een ander lokaal zonder te kijken of er in de bureau nog iets zat
Wat ben je juist met deze codes? Want ik kan me niet echt voorstellen dat je gewoon naar www.iss.com gaat, tabbladje "Bestuur het ISS", codes invullen en dan met de pijltjestoetsen aan de slag kan gaan...
Haha leuk gevonden, maar nee. Die codes worden waarschijnlijk gebruikt om vanuit het netwerk van NASA dingen te kunnen doen op/aan/met het ISS.

Kwalijke van dit verhaal is dat niet alleen de laptop onversleuteld is, maar het netwerk van NASA kennelijk ook nogal slecht beveiligd is (zie artikel). Als je die codes hebt en je bent slim genoeg om zelf te hacken of geslepen genoeg om de codes te verkopen aan een belanghebbende partij, het erg makkelijk wordt om met het ISS te spelen alsof het een radiografisch bestuurbaar vliegtuigje is.
Wanneer je codes weet, heb je weer een deel van de puzzel te pakken.

In dit geval is het ISS een internationale samenwerking. De twee grote partijen die hier niet bij betrokken zijn, China en India...

Het is toch een politiek wapen als je met jou communicatie satelliet de telemetrie van het ISS kan verstoren of door er iig mee te dreigen.

Dat is hetzelfde als wat Iran en Noord-Korea doen, de schijn ophouden dat ze een Atoomwapen hebben of kunnen maken.

Wat is waar? Hoe geloofwaardig ben je?
Als je de gerelateerde content bekijkt aan de rechterkant, dan zou je toch twee keer moeten denken als je als astronaut bij de NASA aan de slag wil gaan.
Houston, we have a problem :o

Maar toch verbaast het me wel:
- onversleutelde laptops (moeite van nihil, en scheelt veel als een laptop wordt gestolen)
- laptops (zijn wel overal laptops nodig, een desktop is makkelijker te beveiligen; die komen niet/minder snel in aanraking met een onbeiligd wachtwoord)

We zullen binnenkort wel weer wat facatures zien in t.net/jobs
Mhmm,

In dit soort overheidsinstellingen waar afdelingen met eigen budget heer en meester zijn over hun middelen, laat de beveiliging van dit soort middelen heel erg te wensen over.
Van "bovenaf*" wordt er niks afgedwongen en niemand zal tegen onderzoekers zeggen dat ze hun laptop eens gaan beveiligen en dichtzetten.
En dan nog wordt er op die laptops vaak nog een eigen versie linux gedraaid waar je als zogenaamde IT organisatie echt niks mee gaat beginnen. ;-)./

*Er is geen bovenaf

(Ik weet klinkt nogal generiek, maar wel mijn ervaring)

Best spookie, er staat om de tereinen grote hekken en video camera en heel veel fysieke bewaking, maar op IT gebied kan je zo binnen wandelen.

Leuk dat iemand een prototype lange afstands stuur raket fysiek zou kunnen stelen, maar het is veel makkelijker de blueprints gewoon digitaal te halen.
tja, NASA is natuurlijk behoorlijk groot en is en blijft een oude overheidsinstantie, dus om beveiliging te upgraden kost heel HEEL veel geld, ook heeft NASA te maken met veel subcontractors wat natuurlijk de veiligheid zelden goed doet. Ook is het een heel groot bureaucratisch instituut en dat doet veiligheid nog minder goed..

Maar in alle grote bedrijven/instituten gebeuren zulke dingen, enige wat men kan hopen is dat er geen misbruik wordt gemaakt van cruciale systemen.. En dit zijn dus sowieso redenen waarom hackers hard aangepakt moeten worden (het is onmogelijk om een netwerk voor 100% te beveiligen, want wat vandaag nog veilig lijkt te zijn kan morgen extreem onveilig blijken).. Helaas dat er mensen op de wereld zijn die misbruik maken en zo laag zijn om dingen te stelen..
Ik ben wel benieuwd waarom ze de focus leggen op "informatie die criminelen graag in handen krijgen" Ik zou zeggen dat de informatie die NASA beheert, en die op het ISS word gewonnen, voornamelijk wetenschappelijk is.

Ik bedoel, er is niemand die de codes gaat gebruiken om te kijken wat voor TV er in het ISS hangt en of er iemand thuis is :+
Je kan hier http://www.satscape.info/home/ checken of de baan van ISS plotseling gaat afwijken, 3D Java app.
Het is natuurlijk al van de gekke, dat het een onversleutelde laptop is, en dat het überhaupt op een laptop mag staan!!

Waarom niet een gesloten netwerk? Geen koppelingen met een internet/intranet of iets dergelijks.

Aan de andere kant kan het ook zijn dat NASA al lang een dergelijk netwerk heeft en dat dit allemaal desinformatie is... of heb ik nu teveel films gezien.. :-D
Waarom niet een gesloten netwerk? Geen koppelingen met een internet/intranet of iets dergelijks.
Omdat de NASA het leger niet is. Het grootste gedeelte van hun werk is vergelijkbaar met wat men bij een universiteit doet: als publieke functie het ontwikkelen van kennis en wetenschap.

Het ISS is een onderzoeksstation waar mensen proefjes doen met gewichtloosheid, er zit geen orbitale laser op gemonteerd ofzo.

De kwetsbaarheid zit hem erin dat het ding zelf erg duur is en dat je het zou kunnen beschadigen (of misschien zelfs crashen op aarde). Maar het onderzoek dat ze daar doen is gewoon voor het publiek en vandaar dat ze ook willen kunnen communiceren met allerlei universiteiten op aarde.

[Reactie gewijzigd door Keypunchie op 1 maart 2012 11:17]

"Waarom niet een gesloten netwerk? Geen koppelingen met een internet/intranet of iets dergelijks."

Dit is toch wel een van de oudste regels in beveiliging, fysieke scheiding van de gevoelige data en de buitenwereld... alleen jammer dat met de F#..ng zooi als stuxnet en co, aanvallers daar ook al aan gedacht hebben... dus gewoon geen portable media toelaten, zo blijft alles binnen de infrastuctuur, dus ook geen laptops pda's en dergelijke. zelfs geen printers en ook geen wifi..

Maar goed da's voor de meesten een 'alu hoedjes' beleid...

Voor een administrateur zijn dit soort scenario's praktisch onhandelbaar :
Aan de ene kant doodgescholden worden door de gebruikers die te veel gelimiteerd zijn door de beveiliging, en aan de andere kant dagelijks bezig zijn met het dichtgooien van eventuele lekken en andere bedreigingen...

Ik neem aan dat die sleutels regelmatig gewijzigd worden... :?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True