Traducido por matrizur.org
El sistema estadounidense de aviones está abierto a las vulnerabilidades de hackers externos, dijo la Oficina de Responsabilidad Gubernamental GAO, este lunes. Las debilidades que amenazan la capacidad de la Administración Federal de Aviación para garantizar la seguridad de los vuelos entre ellas, son no parchear los agujeros de seguridadcon tres años de antiguedad conocidos, la transmisión y el almacenamiento de contraseñas sin cifrar, y la continuación del uso de la clave «fin de su vida útil» de los servidores.
La GAO dijo que por causa de las deficiencias en el sistema que controla algunos de los 2.850 vuelos a la vez el sistema de tráfico aéreo posee un «aumento e innecesario riesgo de acceso no autorizado, del uso o modificación que podría interrumpir las operaciones de control de tráfico aéreo.» Es más, el informe dijo que la FAA «no siempre se aseguró de que los datos sensibles se cifran cuando son transmitidos o almacenados.» Esa información incluye las contraseñas almacenadas y «datos de autenticación.»
Entre los hallazgos:
Si bien la Administración Federal de Aviación (FAA) ha tomado medidas para proteger sus sistemas de control de tráfico aéreo de las amenazas cibernéticos y otras, importantes deficiencias en el control de seguridad se mantienen, amenazando la capacidad de la agencia para garantizar el funcionamiento seguro y sin interrupciones del sistema del espacio aéreo nacional (NAS ). Estos incluyen deficiencias en los controles destinados a evitar, limitar y detectar el acceso no autorizado a los recursos de la computadora, como los controles de protección de los límites del sistema, identificación y autenticación de los usuarios, que autoriza a los usuarios a acceder a los sistemas, el cifrado de datos sensibles, y la auditoría y supervisión de la actividad de los sistemas de la FAA . Además, las deficiencias en los controles de protección de frontera entre los sistemas menos seguros y el entorno operativo NAS aumentan el riesgo de estas debilidades.
La seguridad del público viajero está en peligro hasta que haya una solución al sistema utilizado en algunas torres de control de aeropuertos 500, dijo la GAO. (PDF)
«Hasta que la FAA en la práctica efectiva de los controles de seguridad, no establezca procesos de gestión de riesgos de seguridad de información más fuertes en todo el organismo… las debilidades, dijo GAO, es probable continúen, colocando el funcionamiento seguro y sin interrupciones del sistema de control del tráfico aéreo de la nación en un mayor e innecesario riesgo».
El informe criticó a la agencia por no realizar funciones básicas:
Además, la agencia no siempre se asegura que los parches de seguridad se apliquen de manera oportuna a los servidores y dispositivos de red de apoyo de los sistemas de control de tráfico aéreo, o que los servidores estaban usando software que estaba al día. Por ejemplo, a ciertos sistemas les faltaban parches que datan de más de 3 años. Además, ciertos servidores de claves habían alcanzado el final de su vida útil y ya no estaban apoyados por el vendedor. Como resultado, la FAA está en un mayor riesgo que las vulnerabilidades sin parches podrían permitir que sus sistemas de información y de la información se encuentren comprometidas.
Senadores inmediatamente exigieron una explicación por parte del Departamento de Transporte, que supervisa la FAA.
«Estas vulnerabilidades tienen el potencial de poner en peligro la seguridad y la eficiencia del sistema del espacio aéreo nacional, que el público que viaja depende de cada uno y todos los días», dijo John Thune (RS.D.) y Bill Nelson (D-Fla.).
La agencia de transporte dijo que estaba trabajando para corregir los problemas y ha logrado «grandes hitos» hacia esa meta.
Fuente: http://www.matrizur.org/index.php?option=com_content&view=article&id=34679