html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Атака SirenJack позволяет хакнуть сирены систем экстренного оповещения

Специалисты компании Bastille Networks выявили уязвимость в системах экстренного оповещения компании ATI Systems. Такие сирены тревоги, связанные воедино общей сетью, устанавливаются на военных объектах, индустриальных предприятиях, в городах, кампусах учебных заведений и так далее. Системы экстренного оповещения могут использоваться, к примеру, для предупреждения жителей о террористической атаке, приближающемся торнадо или другой погодной аномалии, а ложная тревога может спровоцировать настоящий хаос и даже панику.

Проблема, обнаруженная в решениях компании ATI Systems, получила название SirenJack, и, как это принято в наши дни, уже имеет собственный сайт и даже логотип.

Эксперт Bastille Networks Балинт Сибер (Balint Seeber) рассказывает, что обнаружил уязвимость еще в 2016 году, когда изучал систему ATI Systems, установленную в американском городе Сан-Франциско. Очень быстро специалист обнаружил, что для передачи команд сиренам экстренного оповещения используется обычная радиочастота, а сами сигналы не имеют никакого шифрования. Сибер отмечает, анализ радиопротокола показал, что некоторые его элементы меняются примерно раз в неделю, однако, собрав достаточно данных, их можно без особого труда предсказать.

Два года тому назад исследователь проделал именно это, потратив на изучение работы системы ATI Systems в Сан-Франциско довольно долгое время. В итоге, когда Сибер научился предсказывать изменения в передаваемых пакетах и разобрался в том, как это осуществляется, он получил практически полный контроль над сиренами тревоги. При этом для передачи ложного сигнала потребовалось лишь портативное радио за пару десятков долларов, software-defined radio и компьютер. В ролике ниже исследователь наглядно показывает, как работает SirenJack.

Изначально специалист не стал уведомлять о проблеме разработчиков ATI Systems, однако после прошлогодних инцидентов в Далласе и на Гавайях эксперт передумал и все же решил сообщить компании о потенциальной опасной ошибке (в ATI Systems Сибер обратился лишь в начале января 2018 года). Напомню, что в прошлом году неизвестные лица взломали систему экстренного оповещения в Далласе, задействовав ночью 156 аварийных сирен, обычно предупреждающих о приближении торнадо, расположенных по всему городу. Жителям Гавайев повезло еще меньше, им были разосланы ошибочные сообщения о готовящемся ударе баллистических ракет.

Представители ATI Systems уже выпустили патч для уязвимой имплементации системы в Сан-Франциско (теперь пакеты не так легко подделать), однако это не означает, что теперь все клиенты компании могут им воспользоваться. Дело в том, что решения ATI Systems в каждом отдельном случае кастомизируюся под нужды клиента, поэтому теперь владельцам и администраторам уязвимых систем экстренного оповещения предстоит получать патчи от производителя в индивидуальном порядке. Проблема состоит в том, что хотя Сибер выждал положенные 90 дней и заранее предупредил компанию о публикации деталей проблемы, «заплатки» для других клиентов пока не готовы, хотя разработчики и обещают выпустить их «в ближайшее время».

Еще один видеоролик демонстрирует PoC-атаку в «полевых условиях»: Сибер включает в динамики сирен тревоги знаменитый трек Never Gonna Give You Up.

Интересно, что по информации издания ZDNet, разработчики ATI Systems, изначально отреагировавшие на публикацию данных о SirenJack спокойно, постфактум поспешили выпустить еще одно заявление. В новом документе утверждается, что исследование Bastille Networks нарушает закон. Компания заявила, что перехват подобных протоколов связи может нарушать нормы, принятые Федеральной комиссией по связи США. Более того, теперь разработчики заявляют, что проблема, найденная Сибером, носит в основном теоретический характер, а «в поле» такие атаки не использовались. Невзирая на это, подавать в суд на ИБ-аналитиков ATI Systems не планирует.

В ответ специалисты Bastille Networks сообщили журналистам, что не нарушали закон и полностью уверены в своей правоте. Определенные законы, запрещающие перехват радиосигналов, действительно существуют, однако они не распространяются на сигналы, не имеющие шифрования и свободно доступные фактически любому желающему.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции