压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網(wǎng)絡(luò)安全公司Bastille在近日表示，由位于美國波士頓的ATI Systems公司開發(fā)的緊急警報系統(tǒng)（Emergency Alert System，EAS）存在一個嚴(yán)重的安全漏洞，允許潛在攻擊者通過發(fā)送特制的無線信號遠(yuǎn)程利用這些系統(tǒng)來激活與之相連的所有警報器，以觸發(fā)虛假警報。

全球大多數(shù)國家目前都在采用緊急警報系統(tǒng)，用以在發(fā)生自然災(zāi)害、人為災(zāi)難和其他緊急情況的時候向公民發(fā)出應(yīng)急警報，例如，惡意的氣候條件、風(fēng)暴災(zāi)害、龍卷風(fēng)和恐怖襲擊。

根據(jù)ATI Systems公司網(wǎng)站記錄的信息，該公司的產(chǎn)品已經(jīng)被廣泛部署在舊金山以及其他大城市和農(nóng)村地區(qū)、軍事基地、大學(xué)校園以及包括石油和核能發(fā)電廠在內(nèi)的工業(yè)場所，其中不乏包括世界貿(mào)易中心一號大樓、IPEC能源中心、麻省大學(xué)阿默斯特分校和西點(diǎn)軍校這樣的重要場所。

被命名為“Siren Jack”的漏洞是由Bastille公司的漏洞研究總監(jiān)Balint Seeber發(fā)現(xiàn)的，他在今年1月向ATI Systems披露了這個問題。這依據(jù)了安全行業(yè)的90天漏洞披露機(jī)制，以給供應(yīng)商足夠的時間來研究漏洞和開發(fā)修補(bǔ)程序。

Seeber表示，這個漏洞其實(shí)是他在2016年審核部署在舊金山市的緊急警報系統(tǒng)時發(fā)現(xiàn)的，起初他并沒有打算向ATI Systems進(jìn)行披露。但鑒于在2017年4月發(fā)生的達(dá)拉斯龍卷風(fēng)警報系統(tǒng)遭黑客攻擊事件和以及在今年1月發(fā)生的夏威夷核導(dǎo)彈警報系統(tǒng)誤報的事件，Seeber最終還是決定與ATI Systems進(jìn)行聯(lián)系。

根據(jù)Seeber的說法，漏洞來自用于控制警報器的無線電協(xié)議沒有受到安全保護(hù)——激活命令以“明文”形式發(fā)送，而并沒有進(jìn)行任何加密處理。

為了利用Siren Jack漏洞來發(fā)起攻擊，攻擊者首先需要從無線電信號中識別出目標(biāo)報警器所使用的無線電頻率（RF），然后才能夠發(fā)送出能夠被報警器所接收的特制消息，而這似乎并不困難。而由于ATI Systems緊急警報系統(tǒng)所發(fā)出的激活命令并沒有經(jīng)過加密處理，這使得攻擊者在找到特定的無線電頻率之后，很容易模擬出這種激活命令。

Seeber表示，無論是識別無線電頻率還是模擬激活命令對于擁有專業(yè)技能的黑客來說并不困難，至于發(fā)起攻擊所需要的設(shè)備，只是一臺價值30美元的手持式收音機(jī)和一臺個人計算機(jī)而已。

ATI Systems表示，修復(fù)程序目前正在測試中，不久之后將用于修復(fù)在舊金山市部署的系統(tǒng)。不過，ATI Systems指出，要修復(fù)所有的系統(tǒng)并不容易，因?yàn)樵S多產(chǎn)品都是根據(jù)不同的客戶需求而量身定制的，這意味著對于不同的產(chǎn)品來說修復(fù)程序可能并不通用。

Bastille公司表示，他們通過與ATI Systems公司的聯(lián)系，了解到了部分受漏洞影響設(shè)備型號，并制作了一份清單。但正如上面提到的那樣，由于很多產(chǎn)品都是依據(jù)客戶需求定制的，所以他們并不能確定這份清單是完整的。

因此，Bastille公司建議客戶主動聯(lián)系A(chǔ)TI Systems，以確定自己所使用的系統(tǒng)中是否存在易受攻擊的報警器或控制器，然后從ATI Systems獲得更具針對性的解決措施。

原文：http://mp.weixin.qq.com/s/mJi9KMBAnYdyO8mjOYlZow