http://www.israeldefense.co.il/?Cat...&ArticleID=6197

התקני תקשורת לווינית (SATCOM) פגיעים להתקפות סייבר בשל נוכחותם של פגמים קריטיים בעיצוב הקושחה, כך קובע דו"ח של חברת IOActive. מערכות המיוצרות על ידי חלק מהקבלנים הממשלתיים הגדולים בעולם מושפעות מפגיעויות חמורות על פי מומחי אבטחה של החברה.
החוקרים חשפו מספר רב של נקודות תורפה בתוכנות ומערכות לווין קרקעיות המיוצרות על ידי ספקים בריטיים כמו Cobham ו-Inmarsat. לפי הממצאים, האקרים יכולים לחטוף ולשבש קישורי תקשורת המשמשים בתעשיות שונות, כולל ביטחון, תעופה ותקשורת.
"IOActive מצאו כי שחקנים זדוניים יכולים לנצל התקני תקשורת לווינית. נקודות התורפה כללו מה שהיה נראה כדלתות אחוריות, אישורי קידוד, פרוטוקולים לא מתועדים ו / או לא מאובטחים ואלגוריתמים חלשים של הצפנה. בנוסף לפגמים בעיצוב, IOActive חשפה מספר תכונות במכשירים שבבירור מהווים סיכון ביטחוני", נכתב בדו"ח. מוצרים ממוסחרים של יצרנים שונים כולל, Iridium, Harris, Hughes, Thuraya ו-Japan Radio Company נמצאו פגומים על פי המחקר.
"אתה יכול לתקוף את אחד המכשירים האלה עם הודעת SMS שתגרום למכשיר להתקין קושחה חדשה או לנצל את הקיימת. תוקפים שיפגעו במסד הנתונים של אחד המשווקים של SIM / מסופון מתוצרת אינמרסט יכולים להשתמש במידע זה כדי לסכן מרחוק את כל המסופים האלה", מסביר Ruben Santamarta, יועץ אבטחה מ-IOActive.
העובדה המדאיגה ביותר היא כי למרות שהחוקר דיווח על הממצאים למרכז ה-CERT, שמייד הוציא התראה לספקים בחודש ינואר האחרון, עד היום התשובה [שלהם] לוקה בחסר. בתוך שפע של ספקים, רק אירידיום החלה לעבוד על פיתוח של טלאי לבעיה.
"ברוב המקרים, תוקפים יכולים לנצל לחלוטין את המערכת. הם יכולים להפעיל קוד משלהם, להתקין קושחה זדונית ולעשות מה שהם רוצים עם המכשיר. הם יכולים לזייף הודעות ולהערים על ספינה למשל לשוט בנתיב מסוים. הם יכולים לשבש גם את התקשורת. אם כלי לא יכול לשלוח אות מצוקה, זה התרחיש הגרוע ביותר", אומר Santamarta. הדבר נכון גם למטוסים. התוקף אפילו לא צריך גישה פיזית לציוד הלוויינים כדי לחטוף את התקשורת או לזייף אותה. במקרים רבים, האקרים יכולים לבצע את ההתקפות שלהם מרחוק.
"החוקרים ב-IOActive ממליצים גם כי יצרנים ומשווקי מוצרי סאטקום יסירו באופן מיידי את כל העותקים הנגישים לציבור של עדכוני קושחה למכשירים מאתרי האינטרנט שלהם כדי להימנע ממקרים של הנדסה הפוכה של קוד המקור", נכתב בדו"ח.
"אם אחד מהמכשירים המושפעים אלה יכול להיות בסכנה, כל תשתית הסאטקום יכולה להיות בסיכון. אוניות, מטוסים, אנשי צבא, שירותי חירום, שירותי תקשורת, ומתקנים תעשייתיים (אסדות קידוח, צינורות גז, מתקני טיהור מים, טורבינות רוח, תחנות וכו ') יכולים להיות מושפעים מנקודות תורפה אלה".

http://www.ioactive.com/pdfs/IOActi..._WhitePaper.pdf

וואו! לקח לישראלדיפנס הכבירים רק שבוע להעתיק את זה מהגרדיאן: http://www.theguardian.com/technolo...nerable-hacking
או לעלות על הפוסט בבלוג החברה, שגם הוא מ-17 באפריל: http://blog.ioactive.com/2014/04/a-...m-security.html (משם גם הקישור ל-whitepaper שטל הביא בתגובה מעלי)

כבר הספקת לשכוח מזה, ואני לא אומר את זה בלשון ציורית. באופן הכי מילולי, כבר הספקתי לשכוח מזה בשבוע שעבר מאז שחוקר ישראלי שמשמש לאחרונה כ-Director of Service ב-IOActive פירסם את זה בפייסבוק:

לצפייה במקור באתר Facebook, לחצו כאן.

גם זה משהו?...

כמובן שהבעיה הקטנה היא שהקוראים צריכים לסמוך על מידע חלקי שמטרתו שיווקית...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

Also on arstechnica.com. The discussion that follows is interesting as well.

Sing while you may
- The Legendary Pink Dots