IT業界資訊媒體

【漏洞王】NASA 先進太空科技毋懼分享 5406 個保安漏洞存而未解

美國太空總署(NASA)喺探索太空方面有好大嘅貢獻,旗下嘅噴射推進實驗室(JPL)亦喺探索火星上提供咗好多先進技術。呢啲咁寶貴嘅專利科技,唔使估都一定有好多國家會打主意,但估唔到嘅係,JPL 實驗室竟然係漏洞王,被舉報嘅 5406 個網絡安全漏洞裡面,居然有 3137 個存在咗超過 60 日,有 181 個仲要超過半年都未解決,呢份網絡安全工作係咪好好做呢!

其實 JPL 嘅網絡安全事故都唔係第一次發生,喺 2011 年就試過有黑客可以隨便進入 18 個伺服器,偷走合共 87 GB 數據;2018 年 亦試過發現有一個帳戶被盜用,但又可以下載超過 500MB 探索火星任務嘅數據,真真正正做到開源共享,技術轉移零收費。

JPL 實驗室雖然係 NASA 旗下其中一個機構,但管理方面就交咗俾加州理工學院(Caltech)。由於呢個實驗室經常發生洩密事故,所以 NASA 就派咗隊人嚟審計一下究竟系統內有乜漏洞。調查結果就喺早幾日公布,一睇內容真係嚇死人。

漏洞王之煉成

舉個例子,JPL 實驗室本身係設有一個安全數據庫嚟偵測網絡上嘅裝置同埋應用軟件嘅運作,但係呢個系統竟然係未完成兼夾準確度差,令到系統無辦法正確對比登入裝置嘅操作權限,甚至有無權限登入網絡。

另一個問題就出喺共享網絡方面,正常做法都會將網絡內容做返適當嘅間隔,將唔同級別嘅機密資料分開擺放,再根據登入者嘅身份設定相對應嘅特權帳號,咁就可以限定某啲機密資料只可以俾最高層接觸。不過唔好意思,JPL 實驗室亦無以上安全考量,只要可以登入共享網絡,就睇到晒所有資料,設計認真 Open。

唔知負責管理嘅人係咪將心思放晒上太空,令到好多保安漏洞遲遲未能解決,本身 JPL 實驗室都有漏洞舉報機制,但呢個系統被發現形同虛設。調查人員發現,現時積存咗 5406 個漏洞仲未解決得到,當中 有 666 個更屬於最高風險嘅漏洞!而處理呢啲漏洞所需嘅時間非常得人驚,有 3137 個漏洞由發現到而家已超過 60 日,真係唔知幾時先搞得掂。完成調查報告後,調查團隊俾咗 10 大建議,促請 JPL 實驗室儘快解決問題,堵塞漏洞,唔知以佢哋嘅工作效率,要幾耐先做到呢?

資料來源:https://bit.ly/2MYbTYV

Privacy Preference Center