NASA 网站曝严重漏洞,或将沦为黑客钓鱼网站
美国国家航空航天局(NASA)天体生物学专用网站存在一个严重的安全漏洞,可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。 太空旅行无疑是危险的。然而,在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。 经过研究人员的调查,早在几个月前(2023年1月14日)已经有研究人员通过漏洞赏金计划发现并报告该漏洞,但该机构没有处理和修复。 攻击者可以利用这个漏洞将任何人重定向到恶意网站,从而获取他们的登录凭证、信用卡号码或其他敏感数据。 自4月初以来,Cybernews研究团队已多次联系美国国家航空航天局,截止到今天尚未收到任何答复。 什么是开放式重定向漏洞? 开放式重定向漏洞简单来说就像是一个假冒的出租车司机。例如你叫了一辆出租车并告诉司机你想去哪里,但是他并没有把你送到目的地,而是把你带到另一个地方。 同样,试图访问 astrobiology.nasa.gov 的用户可能就被重定向进入了一个恶意的网站。通常情况下,网络应用程序会验证用户提供的输入,如URL或参数,以防止恶意重定向的发生。 网络新闻研究人员解释说:攻击者可以利用该漏洞,通过将恶意网址伪装成合法网址,诱使用户访问恶意网站或钓鱼网页。 为什么开放式重定向漏洞是危险的? 攻击者可以用额外的参数修改NASA的网站,将用户引导到他们选择的地方。重新跳转的网站甚至可能类似于NASA的页面,只是在其中加入要求输入信用卡数据的提示。 此外,攻击者可以利用开放的重定向漏洞,引导用户进入网站,在登陆后立即将恶意软件下载到他们的电脑或移动设备上。 另一种利用该漏洞的方式是通过将用户重定向到展示低质量内容或垃圾邮件的网站来控制搜索引擎的排名。 虽然我们没有确认是否有人真正利用了NASA网站的这个漏洞,但是事实上这个漏洞已经暴露了几个月。 如何减轻开放式重定向漏洞的影响? 利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击,窃取凭证并传播恶意软件。 为了避免此类事故,Cybernews研究团队强烈建议网站验证所有用户输入,包括URL。 研究人员解释说:这可能包括使用正则表达式来验证URL的正确格式,检查URL是否来自受信任的域,并验证URL不包含任何额外或恶意的字符。 为了防止恶意字符被注入URLs,网站管理员还可以使用URL编码。同时,网站所有者可以创建一个可信URL的白名单,只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。 转自 Freebuf,原文链接:https://www.freebuf.com/news/368750.html 封面来源于网络,如有侵权请联系删除
突破太空网络安全!航天器关键技术爆严重漏洞
当美国航空航天局(NASA)需要两部在轨航天器保持相对静止并完成对接时,时机的把握至关重要。二者的运行必须彼此精确同步,才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断,必须保证每次都能按时交付关于何时/如何移动的明确指示。 宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作,发现了该系统及其他安全关键系统所使用的网络技术中,存在一个严重漏洞“PCspooF”。 这种网络技术被称为“时间触发以太网”,简称TTE,已在航空、航天和重工业领域应用了十多年。在这类场景下,会有多种不同类型的信息持续在计算机网络中传播,但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权,因此无需单独部署专用的网络硬件。 对于NASA来说,通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要,因为它必须精打细算航天器的每一克重量。而此次研究结果表明,时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰,足以导致模拟对接程序出现严重故障。 图:PCspooF漏洞攻击过程概述 Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci,共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。 在NASA约翰逊航天中心工作期间,Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。 结果表明,低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰,进而让恶意消息顺利通过原本会阻止它们的交换机。 Phan表示,“时间触发以太网技术在关键系统中被广泛应用,因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠,那么以此为基础建立的一切都会土崩瓦解。” 该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议,包括将铜缆替换为光纤及其他光频隔离器。 Loveless表示,“各方都非常愿意采取缓解措施。据我们所知,该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。” 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/Ex-y0w5gR-qkCEwsfaGT7A 封面来源于网络,如有侵权请联系删除
NASA 打算解决长期存在的网络安全管理问题
根据NASA监察长发布的一份报告,”对NASA网络的攻击并不是一个新现象,尽管窃取关键信息的企图在复杂性和严重性方面都在增加”。”我们发现,美国宇航局预防、检测和缓解网络攻击的能力因架构的混乱方法而受到限制”。 NASA管理着3000个网站和42000个公开的数据库。虽然努力加强其网络安全态势,但监察局确定,美国国家航空航天局在过去四年中遭受了超过6000次网络攻击,包括网络钓鱼诈骗和恶意软件。该机构糟糕的安全态势使其暴露在网络威胁的不必要的风险中 。 在监督机构的改革建议中,包括推进CyPreSS–安全和隐私企业解决方案和服务–一个广泛的网络安全管理合同。这需要强化各种IT服务,包括安全运营中心、渗透测试、漏洞管理、供应链风险管理、培训和知识,以及身份、证书和访问管理。 根据Deltek维护的政府合同数据库GovWin,该招标计划于5月17日发布,并将于11月宣布授标,工作将于2022年2月开始。根据联邦奖励管理系统,该提案仍处于预征集阶段。 监察局还指出,NASA评估和授权IT系统的程序在整个组织中是不一致和低效的。 NASA的首席信息官Jeffrey Seaton同意监察局的所有建议,包括为Cypress合同制定基线要求的一项建议。 作为对监察局建议的回应,NASA还将创建一个企业架构计划,开始监测其企业安全架构的功效指标,并对监察局定义的该机构的526个IT系统进行成本评估。 (消息及封面来源:cnBeta)
NASA 服务器被黑客攻击 员工信息曝光
美国国家航空航天局(NASA)已确认旗下一台服务器在10月被黑客攻击,黑客从其中盗取了一些员工信息,包括社会安全号码等等。在12月18日发布的通知中,美国国家航空航天局表示,它目前正在通知那些可能因此受到损害的员工。调查已经开始,NASA表示社会安全号码和其他个人身份信息存储在被黑的服务器上。 NASA表示,在发现这些事件后,NASA网络安全人员立即采取行动保护服务器及其中包含的数据。美国宇航局及其联邦网络安全合作伙伴正在继续检查服务器,以确定潜在数据泄漏的范围,并识别可能受影响的个人。NASA表示,调查需要时间,但强调它现在已成为NASA目前最重要的优先事项。 该机构声称没有任何迹象表明NASA的各项任务受到了黑客影响,但现在它已经传达给所有员工,让他们知道某些信息已经暴露给黑客。NASA表示,将为所有员工提供额外服务,包括身份保护服务。 但是NASA没有详细说明服务器是如何被破坏的,以及事件背后的黑客组织名称。 稿源:cnBeta,封面源自网络;
黑客入侵 NASA 窃取太空探索技术仅是“ 时间问题 ”
曾就职于奥巴马政府美国国土安全部( DHS )与国家安全局( NSA )网络联合协调组、自 2016 年 8 月起担任美国国家航空航天局( NASA )首席信息安全官的珍妮特·汉纳·鲁伊斯( Jeanette Hanna-Ruiz )表示,黑客入侵 NASA 窃取太空探索技术仅是“ 时间问题 ”。 Hanna-Ruiz 在接受彭博社采访时表示会在明年加强对内部网络的管控,将网络空间安全列为 NASA 的首要关注领域,范围涵盖从计算机终端到工业控制系统的各个层面。在她看来,太空探索技术是一个颇具吸引力的领域,黑客入侵仅是时间问题。黑客终将找到接管活跃卫星任务的有效方式。 Hanna-Ruiz 表示,黑客极有可能通过截获航天器与太空基站之间的通信内容为敌国政府机构提供服务。据悉, NASA 网络安全团队正在积极寻找潜在问题与漏洞。据相关方面透露,黑客曾于 2016 年 2 月利用恶意软件感染 NASA 逾 10,000 台设备。此外,某知情人士向 IBTIMES UK 报告,NASA 至少有 30 余个重要数据库公开暴露在互联网上。 今年 4 月,经军方知情人士证实,美国空军已着手为未来太空战的爆发做准备,而研究人员也正围绕卫星抗干扰增强技术与网络空间防御架构展开深入研究。Hanna-Ruiz 强调,尽管美国与俄罗斯的紧张局势持续升温,当涉及最后边界问题时,NASA 与莫斯科之间依然保持着强劲的关系。“值得庆幸的是,NASA 与俄罗斯在共同进行太空探索、将宇航员送入太空方面一直保持着良好的记录。” NASA 于 2016 年向国会提交的一份报告显示,该机构当年共发生 1,484 起网络安全事件。 原作者:Jason Murdock,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
NASA 宣布对公众开放 2017 年至 2018 年软件目录
据外媒报道,日前,NASA 宣布对公众开放其在 2017 年至 2018 年的软件目录。在这份目录中,人们可以找到涵盖 NASA 各任务和科研成果的类别和层面的代码。不过 NASA 表示当中会有一些代码存在限制查看的情况。但不管怎样,这是一次巨大、全面的开放。 据了解,该份目录由 NASA 的 Technology Transfer 项目组整理完成,而这成为 NASA 第三次对外开放如此多的信息。第一次发生在 2014 年 4 月。 用户接下来将可以下载或在线访问最近的软件目录。在里边,他们可以找到关于航空、NASA 行动、推进器、数据处理、数据储存、业务模式等相关的代码。先前公布的数据现在已经为大量企业和个人使用。 针对这次的软件目录开放,NASA Technology Transfer 项目负责人 Dan Lockney 表示: “软件已经成为 NASA 任务成功和科学发现的重要组成部分。实际上,在所有上报的 NASA 创新中,超 30% 都是软件。我们非常高兴向其他机构提供这些工具,并且我们非常期待看到它们得到全新的、创新的使用方式。” 稿源:cnBeta;封面源自网络