5800万阻止不了网络广告病毒：NASA的安全黑洞

【编者按：在IT经理网更早的报道中，我们了解到美国军方无人机系统“被入侵”实际上是中了网游盗号病毒。同样，每年在信息安全技术上投入5800万美元NASA却防范不了“民用”点击欺诈恶意软件；移动设备不加密、安全补丁不升级、员工账户使用简易密码…在NASA连续遭受高级持续攻击的背后，让数千万安全投资打水漂的“安全黑洞”来自NASA淡漠的安全意识、粗疏的安全策略和安全管理。】

在本周的国会听证会上，美国国家航空航天局(NASA)总监察长保罗·马丁(Paul Martin)证实NASA的电脑系统去年十三次被黑客入侵，在最严重的入侵事件中黑客“取得了重要系统的完全控制权”。

保罗·马丁在国会听证会上指出，虽然NASA将15亿美元年度IT预算中的5800万美元投入信息安全，但NASA不但是各级别黑客展示个人技巧的“星光大道”，同时也是利益驱动的网络犯罪和外国情报机构觊觎的对象。

安全策略的不完善是如此多的攻击得手的主要原因。在2010年和2011年，NASA报告了5408起电脑安全事件，包括非法访问系统和恶意软件安装，马丁在国会听证会上指出(PDF)：

有些入侵感染了数以千计的NASA电脑，导致一些任务的中断，以及一些敏感数据的泄漏，这些给NASA造成的损失估计高达7百万美元。

在最严重的入侵事件中，黑客有一次甚至控制了NASA的喷气推进实验室(Jet Propulsion Laboratory)的系统，马丁指出该次攻击的IP来自中国。NASA去年遭受的另外一次比较严重的高级持续攻击（APT）导致150位NASA员工的用户证书被窃。马丁在国会听证会上作证称：

“在2011财年，NASA报告遭受了47次高级持续攻击，13次成功侵入机构内的电脑，在成功的入侵中，入侵者窃取了超过150个员工证书，可以被用于非法访问NASA系统。而在攻击IP地址被证实来自中国的喷气推进实验室的攻击事件中，攻击者成功获得了喷气推进实验室关键系统和敏感用户帐号的全面控制。”

马丁指出：“黑客获得了整个系统的访问权限，可以修改、复制或删除敏感文件，创建新的用户账号并上传黑客工具，从而窃取用户证书并破坏其他NASA系统。他们甚至可以修改系统日志，以隐藏入侵行为。”

在有针对性的高级攻击之外，NASA也是“民用”恶意软件的受害者。跟其他数以百万计的电脑一样，NASA的电脑也会被恶意软件劫持从事点击欺诈行为，推广那些卖假药的网店。马丁证实，超过130台NASA电脑被修改DNS的恶意软件感染被指向Operation Ghost Click。

马丁承认NASA面临比较特殊的网络安全挑战，但也批评了NASA在笔记本电脑数据加密方面大大落后于其他美国政府部门，可能导致信息落入不法之徒手中。2009年4月至2011年4月，NASA共计丢失48台移动计算设备，其中2011年三月丢失的一台笔记本中包含国际空间站的控制代码，以及NASA“星座计划”和“猎户座计划”的敏感数据。马丁指出美国政府范围内的，54%的移动设备已经加密，而NASA只有1%的移动设备和笔记本电脑进行了加密。

马丁警告：

除非NASA全面部署数据加密方案，否则移动计算和移动存储设备中的敏感数据仍将面临很高的丢失和失窃风险。

在提交给国会委员会的一份为NASA辩护的文件中，NASA的CIO，Linda Cureton指出：

与很多联邦政府机构一样，NASA暴露在所有类型的网络攻击之下，从可以防范的小型攻击，到目前手段尚无法有效遏制的高级攻击。而且由于NASA在互联网和公众领域的声望，NASA的信息对于攻击者非常有吸引力，而一旦他们攻击得手，也倾向于通过媒体炫耀。

Cureton透露，在被业界批评后，NASA已经对官方网站进行了漏洞扫描，改进了补丁管理，并开发了入侵响应程序。但Cureton也指出：“由于NASA的基础架构遍布全球，目前正寻求在安全性、系统可运营性、和用户需求三者之间寻找新的平衡。Cureton认为NASA最需要改进的是提高全员安全意识，培养”安全意识文化“，并且将安全融入IT项目的系统开发生命周期管理（SDLC），成为每天的工作习惯之一。

Via Theregister