Top Ad unit 728 × 90

Breaking News

軟體下載

駭客們盯上了衛星,IOActive的驚人發現

駭客們盯上了衛星,IOActive的驚人發現

OpenSSL Heartbleed漏洞的出現,讓我們不得不正視互聯網的安全,我們生活的雲端時代,到處充斥著後門、漏洞、陷阱,近日ActiveIO針對衛星的安全性做出評估,結果發現包括民用、軍用衛星的安全級別也並非想像的那麼高,更可怕的是,很多設備並沒有自動更新功能,供應商對此的態度也讓人大為吃驚,本文來自Infoworld,下面看Roger A. Grimes 給我們帶來的精彩解讀。

以下為原文:

每當我聽到諸如交通信號燈、汽車、火車或飛機是如何容易黑掉,我對此並不感到有多驚訝。原因很簡單,正如數碼世界裡的大部分產品一樣,它們並不是由對駭客攻擊有著深刻理解的人設計的。

基於這樣的假設,ActiveIO決定評估通信衛星的脆弱性。簡而言之,他們的調查發現:

……惡意駭客可以侵入所有設備……漏洞包括後門、硬編碼證書、未登記和/或不安全的協議、脆弱的加密算法。除了設計缺陷,IOActive還發現了設備的許多特性明顯的造成安全風險。

這大概說明了一切,有人震驚了嗎?


對於正規的民用衛星,遇到駭客攻擊,你可能認為這後果可能不是災難性的,那麼,對於戰時的軍事衛星通信就有更高級別的安全防護嗎?不一定。

IOActive開始了它的計劃,他們通過下載公共衛星設備固件更新,然後進行逆向工程分析。他們分析的系統包括海事業務、個人通信、SCADA、語音、數據、航空以及軍事方面。許多設備很少或根本沒有安全防護。IOActive的報告列出供應商和測試的產品,以及發現的漏洞。

作為負責任的組織,IOActive不會公開漏洞的細節。相反,它還會和CERT以及相關衛星供應商加快修復工作。但如果攻擊如IOActive報告指出的那樣根深蒂固的,並且容易發現,或許你不需要一個火箭科學家或者駭客就可以發現利用。

是的,這可能意味著大多數政府(包括美國國家安全局——我們總是包括國家安全局)知道並且事實上濫用了這些漏洞。那麼問題是:這些漏洞到底造成的危害有多大或是在什麼情況下會爆發?IOActive報告推測攻擊者可能禁用或改變衛星系統發送虛假遙測信號給船舶或飛機。

修復衛星的這些問題並不容易,而且非常慢。首先,大多數的衛星可能都有漏洞,並且很容易被發現。甚至大多數有巨大的設計缺陷,同樣很難修復,但是問題是:沒有客戶投訴或者沒被駭客攻擊,供應商們為什麼要修復呢?

因此我的猜測是:大部分的這些漏洞將依然存在。我敢打賭許多廠商推出的新產品中仍然隱含這些漏洞,他們通常使用相同的代碼,正如IOActive檢查和報告過的那樣。

如果你認為我是在嘲諷供應商們的反應,那麼你就錯了,至少一半的供應商要么不對我們的溝通做出回應,要不很長時間乾脆什麼也不做。只有非常少的供應商會對新的威脅採取實際行動。

更大的問題是,正如OpenSSL Heartbleed漏洞的問題,即使供應商發布的固件更新。但是許多衛星設備缺乏自動更新機制,可想而知,這些漏洞將永遠存在,如果沒有任何內置的自動更新功能,很多用戶不知道它們需要更新或如何更新。

我們應該要求所有新的數碼設備定期自動更新,這應該是任何一個新設備優先考慮的。否則我們將繼續發現設備包含巨大的從未修復過的安全漏洞,駭客們太喜歡這類場景了。

原文鏈接:The sky is falling! Hackers target satellites

駭客們盯上了衛星,IOActive的驚人發現 Reviewed by Whoops SEO on 12:49 下午 Rating: 5

沒有留言:

All Rights Reserved by TechRoomage | 科技空間 © 2014 - 2015
Designed by TechRoomage

聯絡表單

名稱

以電子郵件傳送 *

訊息 *

技術提供:Blogger.