Interní auditní kancelář OIG amerického úřadu NASA zveřejnila obsáhlou zprávu (PDF) o chabém zabezpečení jednoho z nejznámějších středisek organizace – Jet Propulsion Laboratory (JPL). Během loňského roku na ni zaútočili hackeři a ukradli přinejmenším 500 MB citlivých dat.
Krádeže dat a špionáž jsou dnes už poměrně časté, tento případ se však trošku vymyká svým způsobem, pachatelé se totiž do interní sítě dostali skrze chabě zabezpečené Raspberry Pi!
Populární prototypovací mikropočítač si nejspíše v síti NASA spustil některý z inženýrů organizace a OIG ve zprávě kritizuje IT oddělení JPL, které mělo nové neautorizované zařízení okamžitě odhalit a případně zablokovat.
Raspberry Pi Zero W a další síťová elektronika schopná útoku v síti LAN/WLAN a LoRa na jednom z českých pracovišť (ilustrační foto z redakce Živě.cz)
Zdá se, že správci sítě nedodrželi velmi přísné předpisy a záškodník zneužil některé ze zranitelnosti. Jakmile ovládl Raspberry Pi, dostal se do vnitřní sítě a mohl snáze stahovat data. Nutno podotknout, že se nejedná o první bezpečnostní incident NASA. Americká agentura pro letectví a kosmonautiku řešila problémy už před lety.
Celé znění bezpečnostní auditu v NASA JPL:
