黑客們盯上了衛星，IOActive的驚人發現

【編者按】OpenSSL Heartbleed漏洞的出現，讓我們不得不正視互聯網的安全，我們生活的云計算時代，到處充斥著后門、漏洞、陷阱，近日ActiveIO針對衛星的安全性做出評估，結果發現包括民用、軍用衛星的安全級別也并非想象的那么高，更可怕的是，很多設備并沒有自動更新功能，供應商對此的態度也讓人大為吃驚，本文來自Infoworld，下面看Roger A. Grimes 給我們帶來的精彩解讀。

以下為原文：

每當我聽到諸如交通信號燈、汽車、火車或飛機是如何容易黑掉，我對此并不感到有多驚訝。原因很簡單，正如數碼世界里的大部分產品一樣，它們并不是由對黑客攻擊有著深刻理解的人設計的。

基于這樣的假設，ActiveIO決定評估通信衛星的脆弱性。簡而言之，他們的調查發現：

……惡意黑客可以侵入所有設備……漏洞包括后門、硬編碼證書、未登記和/或不安全的協議、脆弱的加密算法。除了設計缺陷，IOActive還發現了設備的許多特性明顯的造成安全風險。

這大概說明了一切，有人震驚了嗎？

對于正規的民用衛星，遇到黑客攻擊，你可能認為這后果可能不是災難性的，那么，對于戰時的軍事衛星通信就有更高級別的安全防護嗎？不一定。

IOActive開始了它的計劃，他們通過下載公共衛星設備固件更新，然后進行逆向工程分析。他們分析的系統包括海事業務、個人通信、SCADA、語音、數據、航空以及軍事方面。許多設備很少或根本沒有安全防護。IOActive的報告列出供應商和測試的產品，以及發現的漏洞。

作為負責任的組織，IOActive不會公開漏洞的細節。相反，它還會和CERT以及相關衛星供應商加快修復工作。但如果攻擊如IOActive報告指出的那樣根深蒂固的，并且容易發現，或許你不需要一個火箭科學家或者黑客就可以發現利用。

是的，這可能意味著大多數政府（包括美國國家安全局――我們總是包括國家安全局）知道并且事實上濫用了這些漏洞。那么問題是：這些漏洞到底造成的危害有多大或是在什么情況下會爆發？IOActive報告推測攻擊者可能禁用或改變衛星系統發送虛假遙測信號給船舶或飛機。

修復衛星的這些問題并不容易，而且非常慢。首先，大多數的衛星可能都有漏洞，并且很容易被發現。甚至大多數有巨大的設計缺陷，同樣很難修復，但是問題是：沒有客戶投訴或者沒被黑客攻擊，供應商們為什么要修復呢？

因此我的猜測是：大部分的這些漏洞將依然存在。我敢打賭許多廠商推出的新產品中仍然隱含這些漏洞，他們通常使用相同的代碼，正如IOActive檢查和報告過的那樣。

如果你認為我是在嘲諷供應商們的反應，那么你就錯了，至少一半的供應商要么不對我們的溝通做出回應，要不很長時間干脆什么也不做。只有非常少的供應商會對新的威脅采取實際行動。

更大的問題是，正如OpenSSL Heartbleed漏洞的問題，即使供應商發布的固件更新。但是許多衛星設備缺乏自動更新機制，可想而知，這些漏洞將永遠存在，如果沒有任何內置的自動更新功能，很多用戶不知道它們需要更新或如何更新。

我們應該要求所有新的數碼設備定期自動更新，這應該是任何一個新設備優先考慮的。否則我們將繼續發現設備包含巨大的從未修復過的安全漏洞，黑客們太喜歡這類場景了。

原文鏈接：The sky is falling! Hackers target satellites （編譯/魏偉 審校/仲浩）

以“ 云計算大數據 推動智慧中國 ”為主題的 第六屆中國云計算大會 將于5月20-23日在北京國家會議中心隆重舉辦。產業觀察、技術培訓、主題論壇、行業研討，內容豐富，干貨十足。票價優惠，馬上 報名 ！ 

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈