image

Aanvaller kan sirenes ATI-alarmsysteem door lek laten afgaan

woensdag 11 april 2018, 16:51 door Redactie, 5 reacties

Onderzoekers hebben in een alarmsysteem dat door Amerikaanse steden wordt gebruikt een lek ontdekt waardoor het mogelijk is om de sirenes af te laten gaan. Het gaat om alarmsystemen van fabrikant ATI Systems. Het radioprotocol dat wordt gebruikt voor het bedienen van de sirenes is niet versleuteld.

Een aanvaller die de ingestelde radiofrequentie van het alarmsysteem weet te achterhalen kan zodoende een bericht naar de sirenes sturen en die laten afgaan. Het enige dat is vereist is een draagbare radio van 30 dollar en een computer, zo waarschuwen onderzoekers van securitybedrijf Bastille, die de kwetsbaarheid SirenJack hebben genoemd. ATI Systems laat in een verklaring (pdf) weten dat het spoofen van de berichten niet eenvoudig is en er geen reden voor grote paniek is. Het bedrijf, dat 90 dagen geleden over de kwetsbaarheid werd ingelicht, heeft een patch ontwikkeld die op dit moment wordt getest en op "korte termijn" zal worden uitgerold. In onderstaande YouTube-video wordt de kwetsbaarheid uitgelegd.

Image

Reacties (5)
11-04-2018, 18:53 door Anoniem
'het spoofen van de berichten [is] niet eenvoudig' dat heet 'security by obscurity', nooit een goed idee
11-04-2018, 19:37 door Anoniem
Door Anoniem: 'het spoofen van de berichten [is] niet eenvoudig' dat heet 'security by obscurity', nooit een goed idee
Op zich niet, maar lees de PDF. Het bedrijf heeft het op zich niet heel erg verkeerd gedaan, en het gepaniek van dit beveiligingsbedrijf is dan ook meer gebruikelijk dan werkelijk nuttig.

Maargoed, zeer zeker als je nu zo'n systeem zou ontwerpen dan hoort daar wel een stukje authenticatie bij, tot op het punt dat je dat standaard verwacht zonder extra kosten en niet achteraf toegevoegd.
11-04-2018, 20:07 door Anoniem
Dit soort systemen is meestal ontworpen in de tijd dat we allemaal nog leuk met elkaar omgingen en voordat al die
kakkerlakken uit de grond kwamen die er de hele tijd alleen maar op uit zijn om andermans spullen kapot te maken
of anderszins te verzieken.
Omdat het toen ook nog niet zo "eenvoudig" was om dingen cryptografisch te beveiligen is dat meestal niet gedaan.

Dus nu is er een tweede ronde nodig om al die spullen te vervangen, op kosten van de hardwerkende burger, alleen
maar om dit soort luitjes geen kans te geven. Of, zoals men hier gaat doen, maar helemaal afschaffen. Want anders
blijft het geld kosten door die "onderzoekers".
12-04-2018, 01:36 door spatieman
dit is al zo oud, als de hackRF bestaat.
is in duitsland trouwens al gebeurd dat iemand onder zo'n paal is gaan staan ,en gewoon het spectrum gesnift heeft, en toen midden in de nacht zo'n paal af heeft laten gaan.
13-04-2018, 21:59 door Anoniem
Door Anoniem: Dit soort systemen is meestal ontworpen in de tijd dat we allemaal nog leuk met elkaar omgingen en voordat al die
kakkerlakken uit de grond kwamen die er de hele tijd alleen maar op uit zijn om andermans spullen kapot te maken
of anderszins te verzieken.
Omdat het toen ook nog niet zo "eenvoudig" was om dingen cryptografisch te beveiligen is dat meestal niet gedaan.

Dus nu is er een tweede ronde nodig om al die spullen te vervangen, op kosten van de hardwerkende burger, alleen
maar om dit soort luitjes geen kans te geven. Of, zoals men hier gaat doen, maar helemaal afschaffen. Want anders
blijft het geld kosten door die "onderzoekers".
De vijand is jammer genoeg niet zo lief voor ons.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.