Hintertür in amerikanischen Notfallwarnsystemen
Die Notfallwarnsysteme, durch die sich der US-Präsident im Katastrophenfall über Fernseh- und Radiosender Gehör verschaffen kann, enthielten bis vor kurzem eine haarsträubende Sicherheitslücke.
- Ronald Eikenberg
Das zu Homeland Security gehörende US-CERT warnt vor sicherheitskritischen Schwachstellen in amerikanischen Notfallwarnsystemen, durch die ein Angreifer die Systeme potenziell abschalten oder zur Verbreitung eigener Notfallbotschaften missbrauchen kann. Die Linux-Systeme kommen bei Fernseh- und Radiosendern zum Einsatz und geben der US-Regierung die Möglichkeit, das laufende Programm im Katastrophenfall zu unterbrechen. So soll sich der US-Präsident innerhalb von zehn Minuten an seine Nation richten können.
Die Sicherheitsforscher von IOActive fanden unter anderem heraus, dass öffentlich verfügbare Firmware-Updates für Notfallwarnsysteme von Digital Alert Systems und Monroe Electronics SSH-Schlüssel enthalten (PDF), über den man sich auf der Ferne als root anmelden kann. Das Advisory des US-CERT erwähnt außerdem Schwächen bei der Erzeugung von Passwörtern und Session-IDs auf sowie eine Zugriffsmöglichkeit auf Log-Dateien, die schützenswerte Informationen enthalten können. Für Abhilfe sorgen Firmware-Updates.
Darüber hinaus stießen die Forscher auf voreingestellte Standardpasswörter. Ändert der Sender diese bei Inbetriebnahme des Notfallwarnsystems nicht, kann ein Angreifer ebenfalls leicht die Kontrolle übernehmen. Anfang des Jahres gelang es Unbekannten so, die Notfallwarnsystem der Sender KRTV und Public TV 13 fernzusteuern. Die Eindringlinge nutzten die Gelegenheit, um die Bevölkerung über den Beginn der Zombie-Apokalypse zu informieren. (rei)
