Comunicaciones por Satélite: Problemas de Seguridad

Comunicaciones por satéliteUn análisis de equipos de comunicaciones por satélite de más de media docena de fabricantes, ha descubierto vulnerabilidades críticas que podrían ser explotadas para afectar las operaciones militares y las comunicaciones de buques y aeronaves.

Los problemas han sido descubiertos en software y en sistemas de tierra de comunicaciones por satélite utilizados en todo el mundo y fabricados en Estados Unidos por Harris Corp, Hughes y Iridium Communications; en el Reino Unido por Cobhan e Inmarsat; por Thuraya de Dubai (Emiratos Arabes Unidos); y la japonesa Radio Co, según informa la compañía de seguridad IOActive en el informe A Wake-up Call for SATCOM Security.

Las redes de comunicación por satélite son críticas en las industrias aeronáutica, marítima, de energía, servicios de emergencia y medios. Agencias gubernamentales y el ejército también dependen de tales redes. De octubre a diciembre de 2013, los investigadores de IOActive realizaron ingeniería inversa de actualizaciones de software de productos de comunicaciones por satélite de los fabricantes mencionados. Lo que los investigadores han encontrado son vulnerabilidades importantes que podrían permitir a un ciberatacante interceptar, manipular o bloquear comunicaciones, y en algunos casos, tomar control remoto del dispositivo físico.

Los descubrimientos han sido lo suficientemente serios para que la compañía recomiende a los fabricantes y comercializadores “quitar todas las copias accesibles públicamente de las actualizaciones de software de sus dispositivos, si es posible, y controlar estrictamente el acceso a las actualizaciones en el futuro”.

IOActive ha notificado a los fabricantes de los problemas y está trabajando con el Centro de Coordinación del Gobierno estadounidense CERT, que significa Computer Emergency Response Team. Este centro es parte del Software Engineering Institute (SEI), que es un centro de investigación y desarrollo de la Carnegie Mellon University.

Los detalles específicos necesarios para replicar o probar las vulnerabilidades no se harán públicas hasta la segunda mitad del año, para dar a los fabricantes tiempo a desarrollar los parches necesarios para sus productos. Hasta ahora, sólo Iridium estaba trabajando en un parche, según ha informado el director de tecnología de IOActive Labs, Cesar Cerrudo. “Las agencias gubernamentales conocen la situación, pero no sabemos la presión que están poniendo para que los fabricantes solucionen las vulnerabilidades”.

Los tipos de vulnerabilidades descubiertas por IOActive, incluyen credenciales, protocolos no documentados, protocolos inseguros y puertas traseras. Muchos de estos problemas se descubrieron en los receptores de satélite de Broadband Global Area Network (BGAN). BGAN es una red de voz e internet utilizado a menudo en operaciones militares. El sistema ha sido utilizado para localizar el avión malayo de pasajeros desaparecido el mes pasado.

El equipamiento analizado se utiliza también en el acceso de los sistemas de comunicaciones marítimas Inmarsat-C y FleetBroadband, por SwiftBroadband, un sistema aeronáutico de datps y voz basado en IP aprobado por la International Civil Aviation Organization (ICAO) para servicios de seguridad aérea, y por Classic Aero Service, un sistema aeronáutico utilizado para servicios de datos, fax y voz.

Para explotar las vulnerabilidades, un atacante tendría que comprometer primero o obtener acceso físico a un PC conectado a una de las redes mencionadas, afirma Cerrudo de IOActive Labs. Una vez bajo control del atacante, el ordenador podría utilizarse para comprometer dispositivos vulnerables sin necesidad de nombre de usuario o clave. “El impacto dependería del escenario, y si los dispositivos están comprometidos cuando son necesarios el impacto sería mayor y podría causar accidentes”, ha afirmado Cerrudo.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPrint this pageEmail this to someone

Dejar una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

1 × cuatro =