Hacer sonar la alarma sobre las fallas del sistema de alerta de emergencia: Krebs sobre seguridad


los Departamento de Seguridad Nacional (DHS) está instando a los estados y localidades a reforzar la seguridad en torno a los dispositivos patentados que se conectan al Sistema de alerta de emergencia — un sistema nacional de alerta pública que se utiliza para brindar información importante sobre emergencias, como alertas de tiempo severo y AMBER. La advertencia del DHS se produjo antes de un taller que se realizará este fin de semana en el DEFCON conferencia de seguridad en Las Vegas, donde un investigador de seguridad está programado para demostrar múltiples debilidades en el sistema de alerta nacional.

Un codificador/descodificador EAS de Digital Alert Methods que Pyle dijo que adquirió en eBay en 2019. Tenía el nombre de usuario y la contraseña del sistema impresos en la máquina.

el DHS advertencia fue impulsado por el investigador de seguridad ken pylesocio de la firma de seguridad Es asumido. Pyle dijo que comenzó a adquirir equipos EAS antiguos de eBay en 2019 y que rápidamente identificó una serie de vulnerabilidades de seguridad graves en un dispositivo que los estados y localidades utilizan ampliamente para codificar y decodificar señales de alerta EAS.

“Encontré todo tipo de problemas en ese entonces y lo informé al DHS, al FBI y al fabricante”, dijo Pyle en una entrevista con KrebsOnSecurity. “Pero nunca pasó nada. Decidí que no le iba a contar a nadie sobre esto todavía porque quería darle tiempo a la gente para arreglarlo”.

Pyle dijo que retomó la investigación en serio después de que una multitud enfurecida irrumpiera en el Capitolio de EE. UU. el 6 de enero de 2021.

«Estaba sentado allí pensando: ‘Mierda, alguien podría comenzar una guerra civil con esta cosa'», recordó Pyle. “Regresé para ver si esto seguía siendo un problema, y ​​resulta que sigue siendo un problema muy grande. Así que decidí que, a menos que alguien realmente haga esto público y hable al respecto, claramente no se hará nada al respecto”.

Los dispositivos codificadores/descodificadores EAS que Pyle adquirió fueron fabricados por Lyndonville, Nueva York. Sistemas de Alerta Digital (antes Monroe Electronics, Inc.), cual emitió un aviso de seguridad este mes diciendo que lanzó parches en 2019 para corregir las fallas reportadas por Pyle, pero que algunos clientes todavía están ejecutando versiones obsoletas del firmware del dispositivo. Eso puede deberse a que los parches se incluyeron en la versión 4 del firmware para los dispositivos EAS, y aparentemente muchos modelos más antiguos no es suitable con el nuevo software package.

“Las vulnerabilidades identificadas presentan un riesgo potencialmente grave y creemos que ambas se abordaron en las actualizaciones de program emitidas a partir de octubre de 2019”, dijo EAS en una declaración escrita. “También proporcionamos la atribución de la divulgación responsable del investigador, lo que nos permite rectificar los asuntos antes de hacer declaraciones públicas. Somos conscientes de que algunos usuarios no han tomado medidas correctivas ni actualizado su software package y deben tomar medidas de inmediato para actualizar la última versión del application para asegurarse de que no estén en riesgo. Cualquier versión anterior a la 4.1 debe actualizarse inmediatamente. El 20 de julio de 2022, el investigador se refirió a otros problemas potenciales y confiamos en que el investigador brindará más detalles. Evaluaremos y trabajaremos para emitir las mitigaciones necesarias lo más rápido posible”.

Pero Pyle dijo que muchas partes interesadas de EAS aún ignoran los consejos básicos del fabricante, como cambiar las contraseñas predeterminadas y colocar los dispositivos detrás de un firewall, no exponerlos directamente a World wide web y restringir el acceso solo a hosts y redes confiables.

Pyle, en una selfie que está muy censurada porque el dispositivo EAS detrás de él tenía sus credenciales de usuario impresas en la tapa.

Pyle dijo que la mayor amenaza para la seguridad del EAS es que un atacante solo necesitaría comprometer una sola estación EAS para enviar alertas localmente que pueden ser captadas por otros sistemas EAS y retransmitidas a todo el país.

“El proceso de alertas está automatizado en la mayoría de los casos, por lo tanto, obtener acceso a un dispositivo le permitirá cambiar”, dijo. “No hay un command centralizado del EAS porque estos dispositivos están diseñados para que alguien localmente pueda emitir una alerta, pero no hay un handle central sobre si soy la única persona que puede enviar o lo que sea. Si eres un operador local, puedes enviar alertas a nivel nacional. Así de fácil es hacer esto”.

Uno de los dispositivos de Electronic Warn Systems que Pyle obtuvo de un reciclador de productos electrónicos a principios de este año no funcionaba, pero quien lo descartó no limpió el disco duro incrustado en la máquina. Pyle pronto descubrió que el dispositivo contenía claves criptográficas privadas y otras credenciales necesarias para enviar alertas a través de Comcastla tercera compañía de cable más grande del país.

“Puedo emitir y crear mi propia alerta aquí, que tiene todos los controles válidos o lo que sea para ser una estación de alerta real”, dijo Pyle en una entrevista a principios de este mes. “Puedo crear un mensaje que comenzará a propagarse a través del EAS”.

Comcast le dijo a KrebsOnSecurity que “un dispositivo de terceros utilizado para entregar alertas EAS se perdió en tránsito por un proveedor de envío confiable entre dos ubicaciones de Comcast y posteriormente lo obtuvo un investigador de seguridad cibernética.

«Hemos llevado a cabo una investigación exhaustiva de este asunto y hemos determinado que no se comprometieron datos de clientes ni datos confidenciales de Comcast», dijo el portavoz de Comcast. david mcguire dijo.

La compañía dijo que también confirmó que la información incluida en el dispositivo ya no puede usarse para enviar mensajes falsos a los clientes de Comcast ni para comprometer dispositivos dentro de la red de Comcast, incluidos los dispositivos EAS.

“Estamos tomando medidas para garantizar aún más la transferencia segura de dichos dispositivos en el futuro”, dijo McGuire. “Por separado, realizamos una auditoría exhaustiva de todos los dispositivos EAS en nuestra crimson y confirmamos que están actualizados con los parches disponibles actualmente y, por lo tanto, no son vulnerables a los problemas de seguridad informados recientemente. Estamos agradecidos por la divulgación responsable y a la comunidad de investigación de seguridad por continuar comprometiéndose y compartiendo información con nuestros equipos para hacer que nuestros productos y tecnologías sean cada vez más seguros. El Sr. Pyle nos informó de inmediato sobre su investigación y trabajó con nosotros mientras tomábamos medidas para validar sus hallazgos y garantizar la seguridad de nuestros sistemas”.

La interfaz de usuario para un dispositivo EAS.

Las alertas de transmisión de EAS no autorizadas han ocurrido lo suficiente como para que haya una crónica de los compromisos de EAS en fandom.com. Afortunadamente, la mayoría de estos incidentes han involucrado engaños bastante obvios.

Según el wiki de EAS, en febrero de 2013, los piratas informáticos irrumpieron en las redes de EAS en Good Falls, Mt. y Marquette, Michigan, para transmitir una alerta de que los zombis se habían levantado de sus tumbas en varios condados. En febrero de 2017, una estación de EAS en Indiana también fue pirateada y los intrusos reprodujeron el mismo audio de «zombis y cadáveres» de los incidentes de 2013.

“El 20 y 21 de febrero de 2020, el equipo EASyCAP de Wave Broadband fue pirateado debido a que no se cambió la contraseña predeterminada del equipo”, afirma el Wiki. “Se emitieron cuatro alertas, dos de las cuales consistieron en una advertencia de peligro radiológico y una prueba mensual requerida con partes de la canción de hip hop Hot del artista Young Thug”.

En enero de 2018, Hawái envió una alerta a teléfonos celulares, televisores y radios, advirtiendo a todos en el estado que un misil se dirigía hacia ellos. Hawái tardó 38 minutos en informar a la gente que la alerta fue un fallo de encendido y que se envió una alerta de borrador sin darse cuenta. El videoclip de noticias a continuación sobre el evento de 2018 en Hawái hace un buen trabajo al explicar cómo funciona el EAS.



Enlace a la noticia primary