A Las Vegas-i Black Haten mutatta be a módszert. Az űrnet teljes javítására még várni kell, de kárenyhítés már történt.

Már több mint háromezer Starlink műhold szórja a SpaceX űrnetjét világszerte. A szolgáltatás elérhető többek között Ukrajnában – sőt már Magyarországon is. Los Angelesben, a héten rendezett Black Hat biztonságtechnikai konferencián pedig élőben demózták, hogy 25 dollár befektetéssel lehet lehallgatni a Starlink-kommunikációt. Ez minimum aggasztó például az ukrán felhasználóknak. A Elon Musk cége viszont egyelőre megelégedett a látszatintézkedésekkel. A probléma teljes megoldása ugyanis kicsit sokba kerülne, derül ki a Wired összeállításából.

A problémát Lennert Wouters, a Leuveni Katolikus Egyetem egyetem biztonsági kutatója, tárta fel. Ehhez vásárolt egy Starlink parabolaantennát, azt szétszerelte, aztán készített egy olyan hardvert (lényegében egy ún. modchipet), amivel ún. hibabefecskendezős támadást (fault injection attack) tudott indítani. Mint a Wired írja, Woutersnek az a 25 dollár volt az összes költsége, amibe a speciális áramkör előállítása került.

A Starlink három fő rétegből áll össze: az alacsony Föld körüli pályán (LEO) keringő műholdakból, melyek két földi rendszerrel kommunikálnak: a gatewayekkel, valamint az antennás végfelhasználói terminálokkal (ezek az USA-ban mintegy 600 dollárba, nálunk közel 300 ezer forintba kerülnek). Wouters, ezeket a terminálokat vizsgálta, konkrétan szétszedte. A terminálban lévő áramköri kártyán egy SoC-ot (system-on-chip), egy nyilvánosan nem dokumentált egyedi csipet (négymagos ARM Cortex-A53), egy PoE rendszert (ez biztosítja etherneten keresztül az áramellátást) és egy GPS-vevőt talált. Le tudta tölteni a terminál firmware-jét, és meg tudta kerülni a bootolási folyamatban az aláírás-ellenőrzési  folyamatot. Így átvehette az irányítást rendszer azon része fölött is, amely garantálná, hogy a rendszert nem manipulálták, mielőtt elindult.

Fizettek, aztán látszatintézkedtek

Woutersnek természetesen azonnal értesítette a SpaceX-et a biztonsági résről. A vállalat be is fogadta. mintegy elismerve a létezését, és megfizette a bug bounty programja által előirányzott jutalmat. A folytatás azonban közel sem ilyen fényes: Wouters ugyanis azt állítja, hogy bár a SpaceX kiadott egy firmware-frissítést, azzal az alapproblémát nem orvosolta, legfeljebb az illetéktelen bejutást nehezítette meg. A támadók azonban a modchip átalakításával újra veszélyeztethetik a rendszert.

A kutató szerint a biztonsági rés csak a felhasználói terminálok központi csipjének cseréjével foltozható be tökéletesen. Addig, amíg ez nem történik meg, az összes felhasználói terminál sebezhető lesz. Bár a támadással nem lehet összeomlasztani a Starlinket, de azért elég veszélyes, hogy ennyire bele lehet mászni a rendszerbe, különösen, válságövezetekben (lásd Ukrajna). A megszerzett információk birtokában Wouters kutakodik tovább, most a backend szerverekkel való illegális kommunikációt akarja megoldani.

Miután Wouters megtartotta előadását Las Vegasban, a SpaceX kiadott egy PDF-et, amelyben részletezi a Starlink védelmi eszközeit.

Biztonság

Nem tudjuk és nem is nagyon akarjuk használni az AI PC-t

Mindez egy Intel által rendelt nemzetközi kutatás eredményeiből olvasható ki. Az eladásban érdekelt csipgyártó összefoglalója azért igyekezett a potenciális pozitívumokra koncentrálni.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.