Profile picture
Sergio de los Santos
@ssantosv
, 12 tweets, 4 min read Read on Twitter
El informe que hace el Office of Inspector General de la NASA, de su propio JET (Jet Propulsion Laboratory) es demoledor. Tras denunciar su seguridad en marzo, se publica el informe que habla de intrusiones durante un año y unas prácticas pésimas de seguridad. Hilo👇
El JPL ha sufrido 6 incidentes de seguridad en los últimos 10 años. Quizás el más grave se mantuvo de abril del 18 hasta hace poco. Se llegó a la red por una Raspberry Pi ahí conectada a una red sin monitorización, plana y compartida. Hay ataques en 2009, 2011, 2014, 2016 y 2017.
Y eso que según ellos mismos, la seguridad de las unidades de red e la NASA está lejos de ser una tontería. Desde la seguridad nacional hasta infraestructuras críticas, pasando por robo de conocimiento crítico y tecnología punta.
Un inventario incompleto e impreciso de activos, llevados a través de una web conocida como la Information
Technology Security Database (ITSDB). Decían que el sistema de actualización no funcionaba y a veces se olvidaban de hacerlo a mano, con lo que mantenían excels separados.
Redes no segmentadas y compartidas con terceros. Garantía de problemas. Se proporcionaba acceso a terceros sin el registro y medidas de seguridad necesarias.
Tras un ticket abierto sobre una potencial vulnerabilidad, tenían 30 días para solucionarla. En la auditoría tenían 5406 tickets abiertos. 666 con una criticidad máxima de 10.
Incidentes sin correcciones comprobadas, abiertos durante 11 años, hasta 153 de este tipo que no se sabía si habían sido solucionadas, porque muchas por ejemplo estaban asignadas a trabajadores que ni trabajan ahí ya.
9 de 11 administradores afirmaban que una vez enviados los logs a Splunk, ya no hacía falta hacer mucho más... O sea, que se analizaban poco y mal los logs.
De los 4 niveles que establece el SANS sobre la madurez de la capacidad de Threat Hunting, la mayoría del personal del JPK caía en el 1 y 2. Teniendo en cuenta las veces que habían sido atacados... De hecho, no estaban bien entrenados en general.
El plan de respuesta a incidentes, no contenía estos elementos esenciales:
Con estos mimbres, por supuesto que la respuesta a los APT era más que pobre...
El informe completo de la auditoría está aquí. Un museo de los horrores de la seguridad. oig.nasa.gov/docs/IG-19-022…
Missing some Tweet in this thread?
You can try to force a refresh.

Like this thread? Get email updates or save it to PDF!

Subscribe to Sergio de los Santos
Profile picture

Get real-time email alerts when new unrolls are available from this author!

This content may be removed anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Related threads

Profile picture
Maibort Petit
@maibortpetit
El pasado 30 de mayo el Servicio de Aduanas y Protección Fronteriza de los Estados Unidos subastó por $11 millones una de las propiedades confiscadas a Alejandro Andrade.

Abro hilo para contarles detalles de la transacción y la propiedad.
Puertas de vidrio corredizas abiertas a una terraza frente al mar dan vistas al océano Atlántico. La propiedad posee 6 habitaciones y 5 y medio baños. En el lado oeste de la mansión hay una amplía galería junto a la piscina con una cocina de verano, espacio para estar y comedor.
Frente a la playa, hay una cabaña y una terraza con areas verdes. La propiedad también tiene una entrada cerrada y un garaje para dos vehículos.
Read 27 tweets
Profile picture
Textualiza
@textualizame
"Se siente en el agua, se siente en el aire, se siente en la tierra... Susurros de un remoto pasado", antes que Colossal Cave Adventure corriera en algún equipo, de una nueva forma de contar las cosas, donde el lector era el protagonista...
Alrededor de siglo I A. C. circulaban por el imperio romano las tablas ilíacas, que contenían numerosas escenas de la Guerra de Troya. Las intrincadas ilustraciones de las tablas respondían a aspectos lúdicos, transmitían información de forma no lineal. librojuegos.org/?s=tablas+il%C…
Por el año 200 d.C. el Talmud Judío mostraba distintas columnas de texto escritas por distintos autores y en diferentes épocas, como hipervínculos primitivos que enlazan distintos fragmentos, pero en este caso todo estaba desplegado en la misma hoja. divertinajes.com/nueva/modules/…
Read 27 tweets
Profile picture
Cristina Domenech
@firecrackerx
Os lo prometí a principios de semana y ya es hora. Maratón de Gentleman Jack con comentarios lésbico-históricos, aquí y ahora 🔥🔥🔥
Y lo primero que voy a hacer va a ser canibalizar los comentarios que dejé hace unas semanas del primer capítulo y traerlos para acá que lo quiero todo en un solo hilo, bonito y bien peinado.
Episodio 1: Anne Vuelve a Halifax Buscando Esposa y Dinero, No Necesariamente En Ese Orden.

(Con alguna imágenes y cosas que ya comenté hace unas semanas)
Read 215 tweets
Profile picture
Miguel A. Lurueña
@gominolasdpetro
Hace unos días pudimos conocer que Francia ha prohibido el uso de un aditivo alimentario, óxido de titanio (E171), alegando que no hay pruebas suficientes de que sea seguro. Muchas personas me han preguntado por ello. ¿Deberíamos preocuparnos? Abro #hilo titanio >>>
Antes de nada, presentemos al aditivo en cuestión. Hablamos de dióxido de titanio, una sustancia muy familiar, no solo por su nombre (TiO2), sino porque además se utiliza habitualmente en un montón de cosas: paredes, papel, cosméticos, ropa, medicamentos... y alimentos >>
Se utiliza tanto porque es abundante y barato, pero ¿para qué sirve? Es un compuesto que refleja prácticamente toda la luz visible que llega hasta él, lo que significa que tiene un color muy blanco, así que se emplea como colorante. De hecho es el más utilizado a nivel mundial
Read 18 tweets
Profile picture
Guillem Clua
@guillemclua
El otro día os prometí que os explicaría el misterio que se esconde tras esta lápida en la que reposan dos soldados del Imperio Austrohúngaro que lucharon y murieron en la I Guerra Mundial… y que fueron enterrados juntos. Hilo va.
En el punto más alto de Sighisoara (Rumanía) se alza la Iglesia de la Colina. A ella se llega por unas empinadas escaleras cubiertas, una de las atracciones del lugar que podéis ver aquí en una foto que tomé.
En esta maqueta de la ciudad se aprecia mejor el túnel de madera que da acceso al templo y al pequeño edificio anexo, una escuela de secundaria que aún hoy funciona como tal (y que será importante en la historia).
Read 254 tweets
Profile picture
Museolepse
@museolepse
Ouverture des Assises des métiers des musées à l' @INHA_Fr pour 3 jours d'échanges (filmés).
Programme ➡️ culturecommunication.gouv.fr/Thematiques/Mu… #AssisesMusées
E. de Chassey ouvre les #AssisesMusées en précisant que l' @INHA_Fr déploie aussi des ateliers d'échanges sur tout le territoire actuellement.
Conservateurs mais aussi régisseurs, muséographes, formateurs... tous les métiers seront envisagés pendant ces 3 jours.
Je prends des notes et je #LT de temps à autre 🙂📝 #AssisesMusées
Read 104 tweets

Trending hashtags

#KleinVenedig #Derecho #OCIM #Dante #poder #Determinarse #diletantismo #Eclou #sodomía #Venezuela #Valencia #AmorPatrio #caquetíos #Felipe #LaMaldiciónDeLaLlorona #AnellCiclista #AssisesMusées #ElForastero #CachitosInfantil #Goethe #mestizaje #LopeDeAguirrePríncipeDeLaLibertad #España #Federmann #OteroSilva
Follow Us on Twitter!

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just three indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!