Wykryto podatności w rządowym systemie alarmowania USA

Przewodnicząca Federalnej Komisji Komunikacji (ang. FCC) Jessica Rosenworcel zaproponowała kilka zmian w amerykańskim systemie alarmowym (ang. EAS), które mają na celu wzmocnienie cyberbezpieczeństwa systemów ostrzegania po tym, jak w ubiegłym miesiącu wykryto luki w ich zabezpieczeniach.

Systemy ostrzegania, podobnie jak alerty RCB (Rządowe Centrum Bezpieczeństwa) w Polsce, umożliwiają rządowi federalnemu lub prezydentowi wysyłanie obywatelom ostrzeżeń dotyczących szeregu problemów, w tym potencjalnych niebezpiecznych zdarzeń pogodowych czy zagrożeń terrorystycznych, a nawet informacji o zaginionych dzieciach.

W zeszłym miesiącu Federalna Agencja Zarządzania Kryzysowego (ang. FEMA) wydała ogólnokrajowe ostrzeżenie dla użytkowników EAS, informujące, że w zabezpieczeniach systemu powiadamiania wykryto pewne podatności. Luki te mogą pozwolić cyberprzestępcom na wysyłanie fałszywych alertów za pośrednictwem sieci telewizyjnych, radiowych czy kablowych.

Wyobraźmy sobie, jak szeroką i zaufaną kampanię phishingową można by przeprowadzić, mając dostęp do rządowego systemu powiadamiania kryzysowego. Samo oszustwo milionów ludzi skończyłoby się tragedią, nie mówiąc już o możliwości zasiania masowej paniki.

Odpowiedzialny za wykrycie błędów badacz bezpieczeństwa CYBIR.com Ken Pyle informuje, że jednym z głównych problemów jest fakt, iż FEMA tak naprawdę nie zarządza systemami alarmowania. Są one administrowane przez lokalne stacje, lokalne władze i podmioty stowarzyszone. Każde z nich może z odpowiednim dostępem uruchomić alert (teoretycznie nawet przypadkowo).

Warto tutaj dodać, że subskrypcja takich powiadomień w USA jest dobrowolna i nie działa automatycznie (jak na przykład w Polsce). Liczba osób otrzymujących powiadomienia EAS w Stanach jest z pewnością znacznie mniejsza niż adresatów polskiego RCB.

Niestety szczegółów podatności nie znamy i znać nie będziemy, ponieważ jest to tajemnica rządu USA. Wiemy natomiast, że system ten nie jest bezpieczny i może być w najbliższym czasie atakowany. Powiadomienie o tym fakcie dostali też wszyscy użytkownicy.

Rosenworcel przedstawiła w tym tygodniu propozycję, by od uczestników EAS wymagane było zgłaszanie naruszeń sprzętu EAS oraz by zarówno jego użytkownicy, jak i uczestnicy programu Wireless Emergency Alerts „corocznie poświadczali posiadanie planu zarządzania ryzykiem cyberbezpieczeństwa”. Nowe przepisy zobowiązywałyby ponadto uczestników do „zastosowania wystarczających środków bezpieczeństwa, aby zapewnić poufność, integralność i dostępność ich odpowiednich systemów ostrzegania”. Dostawcy usług bezprzewodowych byliby zobligowani do podjęcia kroków w celu zapewnienia, że na urządzeniach konsumenckich wyświetlane są tylko legalne i prawdziwe ostrzeżenia.

Autor: Kapitan Hack Data dodania: 15 wrz 2022 08:00 5 min czytania

^{Źródło: Federal Emergency Management Agency}

Alert FEMA z zeszłego miesiąca nie precyzował problemów w systemie ostrzegawczym, ale informował, że występują one w tych koderach/dekoderach EAS, które nie zostały zaktualizowane do najnowszych wersji oprogramowania. Agencja zaznaczyła, że luka jest powszechnie znana, a nawet została zademonstrowana przez Pyle’a na konferencji DEF CON 2022 w Las Vegas.

Jak powiedział sekretarz prasowy FEMA Jeremy Edwards, agencja współpracuje z FCC, aby pomóc „partnerom nadawczym w rozwiązaniu tego problemu”.

FCC „wcześniej ostrzegała podmioty lokalne transmitujące EAS o tej luce i zachęcała je do zabezpieczenia sprzętu poprzez instalowanie aktualnych poprawek zabezpieczeń i korzystanie z zapór sieciowych” – czytamy w komunikacie Komisji. „Biuro ponownie wzywa wszystkich partnerów EAS, niezależnie od marki i modelu posiadanego sprzętu EAS, do aktualizacji software oraz firmware urządzeń do najnowszych wersji zalecanych przez producenta i jak najszybszego zabezpieczenia sprzętu za odpowiednio skonfigurowaną zaporą sieciową”.

Agencja dodała, że każda organizacja, która nie odbiera lub nie przesyła wiadomości EAS podczas testów krajowych lub rzeczywistych sytuacji awaryjnych z powodu awarii sprzętu, naraża użytkowników powiadomień na duże ryzyko.

Naszym zdaniem jest to bardzo ciekawy temat, pokazujący, że zagrożenie cybernetyczne może przyjść do nas z każdej strony – szczególnie tam, gdzie się tego nie spodziewamy. Na szczęście system ostrzegania RCB w Polsce jest dobrze kontrolowany i zabezpieczony centralnie – nie polega na lokalnych, przestarzałych urządzeniach, jak w USA.