Video: KING OF CRABS BUTTERFLY EFFECT (Lokakuu 2024)
Olet ehkä kuullut hätälähetyshälytyksestä aiemmin tällä viikolla varoittaen ihmisiä hyökkäävistä zombeista.
Älä vielä ole paniikkia, koska se oli huijaus. Joidenkin julkaistujen raporttien mukaan tuntemattomat tekijät tunkeutuivat hälytysjärjestelmään, jota useat Yhdysvaltojen televisioasemat käyttivät, ja lähettivät väärennetyn ilmoituksen, että "kuolleet nousivat haudoistaan". Michiganin, New Mexico: n ja Montanan asemat kuuluvat niihin.
Meidän kaikkien pitäisi olla huolissamme siitä, että näissä hätähälytysjärjestelmien laitteissa ja laitteissa on kriittisiä haavoittuvuuksia, turvallisuusyrityksen IOActive CTO, Cesar Cerrudo, kertoi SecurityWatchille sähköpostitse. IOActiven päätutkija Mike Davis on löytänyt useita kriittisiä haavoittuvuuksia EAS-laitteissa, joita monet radio- ja TV-asemat käyttävät ympäri maata, hän sanoi. Nämä haavoittuvuudet antavat hyökkääjille mahdollisuuden kompromitoida laitteita etäyhteydellä ja lähettää EAS-viestejä.
Koska IOActive löysi jotkut suoraan Internetiin kytketyistä laitteista, tutkijoiden mielestä hyökkääjät todennäköisesti hyödyntivät joitain näistä virheistä.
Sen sijaan, että vitsailisi zombi-apokalypsistä, hyökkääjät olisivat voineet helposti lähettää hälytyksen vääristä terrori-iskuista. "Tämä todella pelästää väestöä ja riippuen siitä, miten hyökkäys suoritetaan, sillä voi olla rajuja seurauksia", Cerrudo varoitti.
Oletussalasanat lukitsematon ovi
"Takaovi-hyökkäys antoi hakkereille pääsyn EAS-laitteiden turvallisuuteen", ABC 10 -aseman päällikkö Cynthia Thompson kirjoitti aseman blogiin. Thomspon väitti myös, että hakkeri on löydetty.
"Takaovi" osoittautui oletussalasanoiksi, ainakin joillekin laitteille.
FCC antoi tällä viikolla myös kiireellistä neuvontaa lähetystoiminnan harjoittajille, jotta he kehotettaisiin ottamaan EAS-laitteet käyttöön palomuurin takana ja vaihtamaan oletuskäyttäjätilit ja salasanat. Jos salasanoja ei voi vaihtaa, neuvosto kehotti lähetystoiminnan harjoittajia katkaisemaan EAS-laitteen Internetistä ", kunnes nämä asetukset on päivitetty".
Reutersin mukaan New Yorkissa toimiva Monroe Electronics vahvisti yhtiön CAP EAS -laitteet eräisiin laatikoihin, jotka olivat vaarantuneet osana tätä huijausta. Jotkut asemista eivät olleet vaihtaneet tehdasasetusta oletussalasanaa laitteiden asentamisen jälkeen, ja hakkerit käyttivät julkisesti saatavissa olevien tukidokumenttien tietoja kirjautuakseen sisään ja väärennetyn varoituksen lisäämiseen, Reuters kertoi.
"Heitä vaarannettiin, koska etuovi jätettiin auki. Se oli kuin sanoisi" Kävele etuovesta ", " Monroen varapuheenjohtaja Bill Robertson kertoi Reutersille.
Epävarmat laitteet
IOActive otti yhteyttä CERT: iin löytöjään lähes kuukausi sitten, ja CERT koordinoi toimittajaansa ongelmien ratkaisemiseksi, Cerrudo sanoi. IOActive-tutkijat toivovat, että asiat korjataan pian, jotta he voivat keskustella havainnoistaan RSA: n turvallisuuskonferenssissa San Franciscossa myöhemmin tässä kuussa.
Vaikka zombi-apokalypsin huijauksesta puuttuu paljon yksityiskohtia, on selvää, että monet EAS-laitteet eivät ole kovin turvallisia. Vaikka näiden laitteiden ensisijainen tarkoitus on koodata ja dekoodata viestejä ja ajoittaa niiden lähettäminen, ne ovat myös verkotettuja laitteita, joilla on ominaisuuksia, kuten sähköpostin lähettäminen ja vastaanottaminen, tiedostojen isännöinti ja muun sisällön lataaminen verkosta.
Jos EAS-järjestelmien tietoturvavirheet kuulostavat vähän tutulta, ne ovat. Kansan vesijärjestelmiin, sähköverkkoon ja tuotantolaitoksiin virtaavissa lääkinnällisissä laitteissa ja teollisuuden ohjausjärjestelmissä havaittuihin viimeaikaisiin haavoittuvuuksiin liittyy paljon rinnakkain. Kaikki nämä järjestelmät kehitettiin alun perin erillisinä järjestelminä, joten turvallisuus ei ollut ensisijainen näkökohta. Nyt kun nämä laitteet kiinnitetään yhä enemmän yritysverkkoon ja Internetiin, turvallisuuskysymykset ovat tulleet räikeästi ilmeisiksi.
Seuraa Fahmidasta lisää, seuraa häntä Twitterissä @zdFYRashid.
