Aanvaller kan sirenes ATI-alarmsysteem door lek laten afgaan
Onderzoekers hebben in een alarmsysteem dat door Amerikaanse steden wordt gebruikt een lek ontdekt waardoor het mogelijk is om de sirenes af te laten gaan. Het gaat om alarmsystemen van fabrikant ATI Systems. Het radioprotocol dat wordt gebruikt voor het bedienen van de sirenes is niet versleuteld.
Een aanvaller die de ingestelde radiofrequentie van het alarmsysteem weet te achterhalen kan zodoende een bericht naar de sirenes sturen en die laten afgaan. Het enige dat is vereist is een draagbare radio van 30 dollar en een computer, zo waarschuwen onderzoekers van securitybedrijf Bastille, die de kwetsbaarheid SirenJack hebben genoemd. ATI Systems laat in een verklaring (pdf) weten dat het spoofen van de berichten niet eenvoudig is en er geen reden voor grote paniek is. Het bedrijf, dat 90 dagen geleden over de kwetsbaarheid werd ingelicht, heeft een patch ontwikkeld die op dit moment wordt getest en op "korte termijn" zal worden uitgerold. In onderstaande YouTube-video wordt de kwetsbaarheid uitgelegd.
Maargoed, zeer zeker als je nu zo'n systeem zou ontwerpen dan hoort daar wel een stukje authenticatie bij, tot op het punt dat je dat standaard verwacht zonder extra kosten en niet achteraf toegevoegd.
kakkerlakken uit de grond kwamen die er de hele tijd alleen maar op uit zijn om andermans spullen kapot te maken
of anderszins te verzieken.
Omdat het toen ook nog niet zo "eenvoudig" was om dingen cryptografisch te beveiligen is dat meestal niet gedaan.
Dus nu is er een tweede ronde nodig om al die spullen te vervangen, op kosten van de hardwerkende burger, alleen
maar om dit soort luitjes geen kans te geven. Of, zoals men hier gaat doen, maar helemaal afschaffen. Want anders
blijft het geld kosten door die "onderzoekers".
is in duitsland trouwens al gebeurd dat iemand onder zo'n paal is gaan staan ,en gewoon het spectrum gesnift heeft, en toen midden in de nacht zo'n paal af heeft laten gaan.
kakkerlakken uit de grond kwamen die er de hele tijd alleen maar op uit zijn om andermans spullen kapot te maken
of anderszins te verzieken.
Omdat het toen ook nog niet zo "eenvoudig" was om dingen cryptografisch te beveiligen is dat meestal niet gedaan.
Dus nu is er een tweede ronde nodig om al die spullen te vervangen, op kosten van de hardwerkende burger, alleen
maar om dit soort luitjes geen kans te geven. Of, zoals men hier gaat doen, maar helemaal afschaffen. Want anders
blijft het geld kosten door die "onderzoekers".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
