A Las Vegas-i Black Haten mutatta be a módszert. Az űrnet teljes javítására még várni kell, de kárenyhítés már történt.

Már több mint háromezer Starlink műhold szórja a SpaceX űrnetjét világszerte. A szolgáltatás elérhető többek között Ukrajnában – sőt már Magyarországon is. Los Angelesben, a héten rendezett Black Hat biztonságtechnikai konferencián pedig élőben demózták, hogy 25 dollár befektetéssel lehet lehallgatni a Starlink-kommunikációt. Ez minimum aggasztó például az ukrán felhasználóknak. A Elon Musk cége viszont egyelőre megelégedett a látszatintézkedésekkel. A probléma teljes megoldása ugyanis kicsit sokba kerülne, derül ki a Wired összeállításából.

A problémát Lennert Wouters, a Leuveni Katolikus Egyetem egyetem biztonsági kutatója, tárta fel. Ehhez vásárolt egy Starlink parabolaantennát, azt szétszerelte, aztán készített egy olyan hardvert (lényegében egy ún. modchipet), amivel ún. hibabefecskendezős támadást (fault injection attack) tudott indítani. Mint a Wired írja, Woutersnek az a 25 dollár volt az összes költsége, amibe a speciális áramkör előállítása került.

A Starlink három fő rétegből áll össze: az alacsony Föld körüli pályán (LEO) keringő műholdakból, melyek két földi rendszerrel kommunikálnak: a gatewayekkel, valamint az antennás végfelhasználói terminálokkal (ezek az USA-ban mintegy 600 dollárba, nálunk közel 300 ezer forintba kerülnek). Wouters, ezeket a terminálokat vizsgálta, konkrétan szétszedte. A terminálban lévő áramköri kártyán egy SoC-ot (system-on-chip), egy nyilvánosan nem dokumentált egyedi csipet (négymagos ARM Cortex-A53), egy PoE rendszert (ez biztosítja etherneten keresztül az áramellátást) és egy GPS-vevőt talált. Le tudta tölteni a terminál firmware-jét, és meg tudta kerülni a bootolási folyamatban az aláírás-ellenőrzési  folyamatot. Így átvehette az irányítást rendszer azon része fölött is, amely garantálná, hogy a rendszert nem manipulálták, mielőtt elindult.

Fizettek, aztán látszatintézkedtek

Woutersnek természetesen azonnal értesítette a SpaceX-et a biztonsági résről. A vállalat be is fogadta. mintegy elismerve a létezését, és megfizette a bug bounty programja által előirányzott jutalmat. A folytatás azonban közel sem ilyen fényes: Wouters ugyanis azt állítja, hogy bár a SpaceX kiadott egy firmware-frissítést, azzal az alapproblémát nem orvosolta, legfeljebb az illetéktelen bejutást nehezítette meg. A támadók azonban a modchip átalakításával újra veszélyeztethetik a rendszert.

A kutató szerint a biztonsági rés csak a felhasználói terminálok központi csipjének cseréjével foltozható be tökéletesen. Addig, amíg ez nem történik meg, az összes felhasználói terminál sebezhető lesz. Bár a támadással nem lehet összeomlasztani a Starlinket, de azért elég veszélyes, hogy ennyire bele lehet mászni a rendszerbe, különösen, válságövezetekben (lásd Ukrajna). A megszerzett információk birtokában Wouters kutakodik tovább, most a backend szerverekkel való illegális kommunikációt akarja megoldani.

Miután Wouters megtartotta előadását Las Vegasban, a SpaceX kiadott egy PDF-et, amelyben részletezi a Starlink védelmi eszközeit.

Biztonság

Az Apple is kénytelen volt feladni a teljes önvezetésről szóló terveit

Nem csak a saját márkás járművek megjelenésének a céldátumát tolták odébb, de a Bloomberg szerint azt is elengedték, hogy belátható időn belül megvalósítsák a legmagasabb szintű autonómiát.
 
Hirdetés

Innováció az integrációban

Interjú a mobilitás app integráció szakértő e6 Integrations ügyvezetőivel.

Bár az 5G-s beruházások megtérülését biztosító alkalmazási területeket még a szolgáltatók és az ügyfelek is keresik, a fejlesztési kényszer megvan, mert aki ebből kimarad, lemarad.

a melléklet támogatója a Yettel

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.