Hackers toman el control de las sirenas de alerta de emergencia con SirenJack

Los hackers pueden falsificar y secuestrar las comunicaciones que se dirigen a las sirenas que forman parte de los sistemas de alerta de emergencia para activar alertas falsas y causar pánico entre la población local, comentan los expertos en seguridad de la información.

Los atacantes pueden lograr esto explotando una vulnerabilidad recientemente descubierta en los sistemas de alerta de emergencia fabricados por ATI Systems.

sirenjack

Los sistemas de alerta de emergencia están desplegados en el One World Trade Center, las estaciones de energía nuclear del Indian Point Energy Center, UMass Amherst y la Academia Militar de West Point.

La falla de SirenJack afecta el protocolo de radio de las sirenas. La vulnerabilidad, descubierta por el investigador de seguridad de la información Balint Seeber y etiquetada como SirenJack, reside en el hecho de que el protocolo de radio utilizado para controlar las sirenas en ATI Systems no está encriptado.

Este protocolo no encriptado permite a un actor malo, que podría ser un individuo, hacktivista, terrorista u Estado nacional hostil, encontrar la frecuencia de radio asignada a un sistema de emergencia, crear mensajes de activación maliciosos y activar el sistema de emergencia.

Seeber descubrió esta falla al auditar el sistema de alerta de emergencia desplegado en la ciudad de San Francisco en 2016. No notificó inicialmente a ATI Systems del error, pero los recientes incidentes relacionados con el sistema de alerta de sirenas de tornado de Dallas y el sistema de alerta de misiles nucleares de Hawái el investigador para contactar a ATI.

En un comunicado emitido hoy, ATI dice que desarrolló un parche para el problema informado por el investigador de la Bastilla.

“ATI ha creado un parche que agrega funciones de seguridad adicionales a los paquetes de comando enviados por la radio. Esto se está probando actualmente y se lanzará en breve”, dice ATI.

La compañía agregó que estos sistemas de alerta de emergencia están personalizados para cada cliente y que cada cliente tendrá que contactarse con la compañía para obtener su solución personalizada.

De acuerdo con profesionales de la seguridad de la información, un parche para el sistema de alerta de emergencia de San Francisco ya se aplicó el mes pasado.

“Una sola alarma falsa alarma de sirena tiene el potencial de causar pánico generalizado y poner en peligro vidas”, dijo Chris Risley, CEO de Bastille Networks. “Bastille informó a ATI y San Francisco de la vulnerabilidad hace 90 días, para darles tiempo de poner un parche en su lugar. Ahora estamos divulgando públicamente SirenJack para permitir que los usuarios de ATI Systems determinen si su sistema tiene la vulnerabilidad SirenJack. Espero que otros proveedores de sirenas investiguen sus propios sistemas para corregir y corregir este tipo de vulnerabilidad”.