Hacker-Angriff auf Notfall-Alarmsystem
Anfang des Jahres sind Hacker in das Notfall-Alarmierungssystem eines amerikanischen Fernsehsenders eingebrochen. Das laufende Programm wurde mit einer Zombie-Apokalypse-Warnung unterbrochen. Ähnliche Attacken wurden aus vier anderen US-Staaten gemeldet.
Es handelte sich dabei ausschließlich um Regionalsender. Der nationale EAS-Sender war nicht betroffen. EAS ist der Nachfolger des in den 1960er Jahren installierten Warnsystems, welches die Öffentlichkeit über Katastrophen, Unwetter oder andere Desaster informiert. Es ermöglicht im Falle nationaler Krisen auch die Zuschaltung des Staatspräsidenten.
Was beim Zuschauer in den diesjährigen Fällen eher ein Schmunzeln auslöste, war für die Sender ein Albtraum. Die in den Alarm-Systemen verwendeten Decoder hatten offenbar Schwachstellen, die Hacker ausnutzten, um sich Zugang zum öffentlichen Warnsystem zu verschaffen, es zu missbrauchen oder gar zu deaktivieren. Die beiden digitalen Warnsysteme, DASDEC-I und DASDEC-II empfangen und senden öffentliche Warndurchsagen.
Eine Untersuchung ergab, dass ein für Privatzwecke ausgelegter Root-SSH-Schlüssel in der Firmware dieser Decoder Ursache für die unberechtigten Zugänge war. Ist ein Hacker einmal im System, kann er via Internet sämtliche Funktionen des Gerätes manipulieren. Ein Pressesprecher der Herstellerfirma Monroe Electronics gab bekannt, dass die Auslieferung dieser Systeme seit Februar gestoppt wurde und man im April begonnen habe, die Firmware Version 2.0-2 herauszugeben, welches das SSH-Schlüsselproblem löse.
Die Version sei benutzerfreundlich und eine zwingende Änderung der voreingestellten Passwörter sei vorgegeben. Nicht erwähnt wurde dabei, dass ähnliche Schwachstellen auch in den Systemen R189 One-Net/R189SE One-NetSE bestehen.
Die Amerikaner haben letztes Jahr zusätzlich ein Alarmierungssystem für Mobiltelefone installiert. Ein besonderer Alarmton und Vibrationen unterscheiden dabei die Textmeldungen von gewöhnlichen Meldungen. Die SMS weist die Benutzer an, Radio und Fernsehen einzuschalten, um weitere Informationen zu erhalten. Solche SMS-Warnungen wurden während der Oklahoma-Tornados und während der Bostoner Marathon-Bombenattacken verschickt.
Artikel von wired.com, 08.07.2013: This Is Not a Test: Emergency Broadcast Systems Proved Hackable
Artikel von kb.cert.org, 10.07.2013: Digital Alert Systems DASDEC and Monroe Electronics R189 One-Net firmware exposes private root SSH key