Súlyos hibák veszélyeztetik a műholdas rendszereket

A műholdas rendszerek és berendezések sem mentesek a biztonsági résektől. Ezek kihasználásával pedig komoly károkat lehet előidézni egyebek mellett a légi és vízi közlekedésben is.
 

Az IOActive biztonsági cég már tavaly felhívta a figyelmet arra, hogy a különféle kommunikációs rendszerekben is előfordulnak durva sebezhetőségek. Akkor az Amerikában használatos EAS (Emergency Alerting System) esetében mutatott ki egy sérülékenységet, amelyet a támadók akár távolról is kihasználhattak a céljaik elérése érdekében. Az EAS egy olyan vészhelyzeti riasztórendszer, amelyet az amerikai hatóságok használnak nyilvános figyelmeztetések TV-kben, rádiókban történő közzétételéhez. A biztonsági cég kutatói az EAS hibájának felfedezését követően sem hagyták abba a munkájukat, sőt egyre több súlyos rendellenesség szúrt szemet nekik, amikor a műholdas kommunikációs rendszereket, illetve az azokhoz kapcsolódó különböző eszközöket vették górcső alá.

A több hónapos kutatások során szorosan együttműködtek a US CERT biztonsági csapatával, és így közvetve az Egyesült Államok Belbiztonsági Minisztériumával is. A vizsgálatok során számos műholdas berendezést teszteltek biztonsági szempontból, és a következő összefoglaló táblázatot állították össze:


Forrás: IOActive 

A fenti táblázat azt mutatja, hogy a kutatók a hadseregben, a vízi és légiközlekedésben is gyakorta alkalmazott készülékeket kényszerítettek térdre, méghozzá egyéb informatikai területekről jól ismert módszerek segítségével. Felfedeztek hátsó kapukat, nem dokumentált protokollhibákat, sebezhető kommunikációs eljárásokat, gyárilag "beégetett" jelszavakat vagy éppen könnyen resetelhető hitelesítési adatokat is. A hátsó kapuk kapcsán kiemelték, hogy olyan sebezhetőségekről van szó, amelyek révén nem dokumentált funkciók vagy felületek válhatnak elérhetővé az egyes berendezésekben.


Forrás: IOActive 

A NATO által is használt RF-7800B rendszer tulajdonképpen az összes említett sérülékenységet tartalmazta. Az IOActive szerint ezek együttesen azt eredményezhetik, hogy e készülékek az ellenség által manipulálhatóvá, nyomon követhetővé vagy éppen blokkolhatóvá válhatnak, ami egy katonai művelet során a kommunikáció megbénulást idézheti elő. Hasonló problémák merülhetnek fel például a hajózásban elterjedt Cobham SAILOR rendszerek esetében is, amelyek nélkülözhetetlenek ahhoz, hogy a hajók személyzete hozzájusson a navigációs adatokhoz, az internethez, a telefonhoz, az időjárás jelentésekhez, a távgyógyászati megoldásokhoz és nem utolsó sorban a vészhelyzeti kommunikációs lehetőségekhez. Ha pedig ezek a szolgáltatások sérülnek, akkor annak beláthatatlan következményei lehetnek. És akkor még nem is említettük a repülésben alkalmazott, szintén sebezhető műholdas eszközöket. Ennek kapcsán az IOActive azt nyilatkozta, hogy nincsenek arra utaló jelek, hogy a maláj repülőgép eltűnésében ilyen sérülékenységek is szerepet játszottak volna, de sajnos a kutatási eredmények alapján ennek elméleti lehetőségét nem lehet kizárni.


Forrás: IOActive

Veszélyes semmittevés

Az IOActive jelezte, hogy a kutatásával nem a félelemkeltés volt a célja, hanem sokkal inkább az, hogy a műholdas kommunikációt biztosító szolgáltatók, az eszközgyártók és a felhasználók figyelmét is felhívja arra, hogy e kritikus fontosságú rendszerek sem sebezhetetlenek. Az igazán szomorú az, hogy a cég a US CERT bevonásával már januárban jelezte a gyártók felé a feltárt biztonsági hibákat, azonban az Iridium kivételével eddig egyik cég sem reagált a megkeresésekre. A kutatók reménye szerint a nyilvánosság bevonásával talán sikerül előrelépést elérni e téren legalább olyan szinten, hogy az érintett gyártók a javítások megjelenéséig kockázatcsökkentő módszereket vagy biztonságosabb konfigurációs beállításokat dolgozzanak ki és tegyenek közzé.

"Amennyiben bármelyik érintett eszköz kompromittálódik, akkor az az egész SATCOM infrastruktúrára nézve kockázatot jelent. A hajózást, a repülést, a katonai műveleteket, a vészhelyzeti szolgáltatásokat, a médiát és a kritikus infrastruktúrákat is sújthatják e sérülékenységek" - vélekedtek a kutatók.
 
  1. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  2. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  3. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  4. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  5. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  6. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  7. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  8. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

  9. 4

    A Microsoft egy biztonsági javítást tett letölthetővé az Exchange Serverhez.

  10. 4

    A Microsoft egy sérülékenységről számolt be az Office kapcsán.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség