NASA irrt durch den Cyberspace (und wird gehackt)

Ein Hacker verschaffte sich via einen Raspberry Pi, dessen Betrieb nicht autorisiert war, Zugang zum Netzwerk des Jet Propulsion Laboratory (JPL) der NASA. Wozu der Raspberry Pi eingesetzt wurde, ist nicht bekannt. Der Angriff wurde als "Advanced Persistent Threat" (APT) analysiert. Dies ist einem Audit-Bericht zu entnehmen, den die Aufsichtsbehörde, ein Office of Inspector General (OIZ), verfasst hat.
 
Der Hacker erbeutete im April 2018 dabei 23 Dateien (500 Mbyte), darunter zwei Dateien, die der internationalen Regulierung für Waffenhandel unterstehen und den Mars Rover "Curiosity" betreffen.
 
Der erfolgreiche Hack ist offenbar nur ein Indiz für weitergehende Probleme und Schludrigkeiten beim Cybersecurity-Management des JPL. Dieses ist nicht bloss in Mars-Missionen der NASA involviert, sondern auch ins wissenschaftliche Analysieren von Daten und in die Satellitensteuerung, inklusive kritische Missionen. Die NASA verfügt über hunderte von IT-basierten Systemen und Projekten. "Es überrascht nicht, dass die NASA ein regelmässiges Ziel von Cyberangriffen ist, sowohl wegen der Grösse ihrer Netzwerke als auch wegen der Grösse und der Vertraulichkeit der Informationen, die sie speichert", heisst es im Audit-Bericht lapidar.
 
Trotzdem zeigt sich das JPL bei der Cybersecurity laut dem Bericht als wenig lernfähig und lernwillig. Ein aufgelisteter Hack stammt aus dem Jahr 2011, als Eindringlinge totalen Zugriff auf 18 Server mit Daten für zentrale Missionen erhalten hatten. Sie saugten dabei 87 Gigabyte Daten ab. Und dies sei kein Einzelfall gewesen.
 
Zu den aktuell entdeckten Mängeln gehört, dass das JPL eine IT Security Database (ITSDB) im Einsatz hat, ein Automatisierungs-Tool für den Zertifizierungs- und Akkreditierungsprozess aller Teile der IT-Systeme. Diese stimme auch mit den Best Practices des NIST-Risikomanagements überein, so die Audit-Behörde. Aber die Datenbank ist sowohl unvollständig als auch unpräzise. Die Sicht der Cybersecurity-Verantwortlichen auf die mit den Netzwerken verbundenen Devices sei unvollständig (was denn auch den eingangs erwähnten Raspberry-Pi-Hack ermöglichte).
 
Nun ist es aufwändig, eine aktuelle CMDB zu pflegen, lernen wir aus der Branche. Und es stellt sich die Frage, warum nicht eingetragene Hardware überhaupt funktionieren kann.
 
Aber dies sind ja nicht die einzigen Probleme. Ein weiteres, regelmässig auftauchendes ist auch bei der NASA offenbar die Netzwerk-Segmentierung, beziehungsweise der Mangel daran. Das JPL strebt Netzwerk-Segmentierung an, und auch sei der Partnerzugriff teilweise rechtebasiert beschränkt. Aber nur teilweise und nicht vorschriftsgemäss. Das mangelhaft gemanagte Zugangssystem ermöglichte denn auch, dass Unbefugte sich frei bewegen können in den Netzwerken.
 
Wer überhaupt wozu befugt war, wurde laut dem Bericht nicht dokumentiert, zu erfüllende Anforderungen von Partnern ebensowenig, die Security-Massnahmen auch nicht.
 
Ausserdem…
Wurden dann wegen eines Sicherheitsproblems Log-Tickets erstellt, so hiess dies im Prüfungszeitraum noch lange nicht, dass daraufhin gehandelt wurde. Die Untätigkeit konnte länger als 180 Tage dauern. Dies galt auch für entdeckte Lücken, die mit der maximalen Risikostufe "10" gemeldet wurden.
 
Das heisst nun nicht unbedingt, dass beispielsweise die Sys-Admins die Arbeit verweigerten. Es gab nämlich Missverständnisse JPL-intern bezüglich Rollen, Aufgaben und Verantwortlichkeiten in diesen Fällen.
 
Da ist es wenig überraschend, dass auch in Sachen Security-Tools nicht das vollständige, von Experten empfohlene Abwehr-Arsenal im Einsatz war. "Threat-Hunting"-Tools gab es keine, einen 24-Stunden-Betrieb im Security Operations Center (SOC) der NASA offenbar auch nicht.
 
Und beim Entdecken von Security-Incidents wurde eher langsam, als rasch und entschlossen reagiert, wie der Rasperry-Pi-Vorfall zeige, so der 49-seitige Audit-Bericht (PDF). (mag)