Video: Extreme Hide and Seek in Zombie Apocalypse - Last To Survive Wins Challenge & How To Be The Best! (Oktober 2024)
Du har muligvis hørt om alarmudsendelsen tidligere i denne uge med advarsel om zombier, der angriber mennesker.
Gå ikke i panik endnu, da det var en hoax. Ifølge nogle af de offentliggjorte rapporter hackede ukendte gerningsmænd ind i alarmsystemet, der blev brugt af flere tv-stationer i De Forenede Stater og udsendte en falsk alarm om, at de "døde stiger op fra deres grave." Stationer i Michigan, New Mexico og Montana er blandt de berørte.
Hvad vi alle skulle være bekymrede for, er det faktum, at der er kritiske sårbarheder i den hardware og software, der bruges i disse Emergency Alert System-enheder, fortalte Cesar Cerrudo, CTO for sikkerhedsfirmaet IOActive, til SecurityWatch via e-mail. Mike Davis, IOActives vigtigste forsker, har opdaget en række kritiske sårbarheder i EAS-enheder, der bruges af mange radio- og tv-stationer rundt om i landet, sagde han. Disse sårbarheder ville give angribere mulighed for ekstern kompromis på enheder og udsendelse af EAS-meddelelser.
Da IOActive fandt nogle af de enheder, der var direkte forbundet til Internettet, mener forskerne, det var sandsynligt, at angriberen udnyttede nogle af disse mangler.
I stedet for at joke om en zombie-apokalypse, kunne angribere let have sendt en advarsel om et falskt terrorangreb. "Dette ville virkelig skræmme befolkningen, og afhængigt af hvordan angrebet udføres, kan det have drastiske konsekvenser, " advarede Cerrudo.
Standard passwords en ulåst dør
"Et" bagdør "-angreb gjorde det muligt for hackeren at få adgang til sikkerheden ved EAS-udstyret, " skrev ABC 10-stationschef Cynthia Thompson på stationens blog. Thomspon hævdede også, at hackeren er blevet "fundet".
"Bagdøren" viste sig at være standardadgangskoder, i det mindste for nogle enheder.
FCC udsendte også en presserende rådgivning til tv-selskaberne i denne uge om at instruere dem om at indsætte EAS-enhederne bag en firewall og ændre standardbrugerkonti og adgangskoder. Hvis adgangskoder ikke kan ændres, opfordrede rådgivende tv-selskaberne til at afbryde EAS-enheden fra internettet "indtil disse indstillinger er blevet opdateret."
Ifølge Reuters bekræftede NY-baserede Monroe Electronics, at selskabets CAP EAS-enheder var blandt nogle af de kasser, der blev kompromitteret som en del af denne hoax. Nogle af stationerne havde ikke ændret fabriksindstillet standardadgangskode efter opsætning af enhederne, og hackerne brugte oplysningerne fra offentligt tilgængelige supportdokumenter til at logge ind og indsætte den falske advarsel, rapporterede Reuters.
"De blev kompromitteret, fordi indgangsdøren blev åbnet. Det var ligesom at sige 'Gå ind ad hoveddøren', " fortalte Reuters, Bill Robertson, en vicepræsident i Monroe.
Usikre enheder
IOActive kontaktede CERT med sine opdagelser for næsten en måned siden, og CERT koordinerer med sælgeren for at løse problemerne, sagde Cerrudo. IOActive forskere håber, at problemerne snart vil blive løst, så de kan diskutere deres fund på RSA-sikkerhedskonferencen i San Francisco senere i denne måned.
Selvom der mangler en masse detaljer om zombie-apokalypse-hoaxen, er det tydeligt, at mange EAS-enheder ikke er særlig sikre. Selvom det primære formål med disse enheder er at kode og afkode meddelelser og planlægge dem til at blive sendt, er de også netværksenheder med funktioner som afsendelse og modtagelse af e-mail, hosting-filer og download af andet indhold fra Internettet.
Hvis sikkerhedsfejl i EAS-systemer lyder lidt velkendte, er de det. Der er en masse paralleller til nylige sårbarheder opdaget i medicinsk udstyr og industrielle kontrolsystemer, der driver landets vandsystemer, elektrisk net og produktionsanlæg. Disse systemer blev alle oprindeligt udviklet som isolerede systemer, så sikkerhed var ikke en primær overvejelse. Nu hvor disse enheder i stigende grad tilsluttes virksomhedsnetværket og Internettet, bliver sikkerhedsspørgsmålene åbenlyse tydelige.
For mere fra Fahmida, følg hende på Twitter @zdFYRashid.
