Redactie - 21 mei 2012

Onderzoeker onthult beveiligingslekken in satelliet en digitale televisie


Een Poolse beveiligingsonderzoeker heeft grote beveiligingslekken ontdekt in zowel de set-top-boxen die gebruikt worden voor satelliettelevisie als in de chipsets van Digital Video Broadcast (DVB) systemen. Het onderzoek is uitgevoerd door Adam Gowdiak. Hij onthult dat een combinatie van aanwezige veiligheidslekken in software, hardware en diensten van verschillende aanbieders diepgaande gevolgen kan hebben voor de veiligheid van moderne digitale TV platformen. Gowdiak zal zijn bevindingen presenteren tijdens twee sessies op de derde jaarlijkse Security Conferentie Hack In The Box in het Okura hotel in Amsterdam (21 t/m 25 mei 2012).

Gedurende het onderzoek, dat anderhalf jaar in beslag heeft genomen, heeft Gowdiak meer dan 20 veiligheidslekken ontdekt bij een van de grootste satelliet TV aanbieders in Polen. Hij wil aantonen dat nieuwe platformen zoals set-top-boxen voor digitale satelliet televisie niet immuun zijn voor hackers en dat ze besmet kunnen raken op dezelfde manier als computers: automatisch en zonder gebruikersinteractie. Het onderzoek toont aan dat slimme malware de beveiliging van chips kan kraken en software in de set-top-boxen kan aanpassen. Gowdiak bewijst dat dit kan leiden tot het delen van versleutelde TV programma’s met andere, niet betalende gebruikers.

Adam Gowdiak: “De ‘Security Explorations’ sessies zijn uniek om twee redenen: ten eerste gaat het om de eerste onthulling van malware bedreigingen als het gaat om digitale televisie. Ten tweede is dit de eerste succesvolle aanval op set-top-boxen waarop het Conax Conditional Access System is geïmplementeerd. Dit systeem wordt wijdverspreid ingezet tegen misbruik en moet het illegaal delen en verdelen van betaalde en premium programma’s tegenhouden.”

Gowdiak, oprichter en CEO van Security Explorations, is geen onbekende in de wereld van security. Hij was tevens de man die Microsoft in 2003 op de knieën kreeg door deelname aan de groep “The Last Stage of Delirium (LSD)”. Deze groep toonde destijds een verwoestende kwetsbaarheid aan in alle Windows versies die op dat moment waren uitgebracht. In de jaren hierna toonde hij meer dan 50 security problemen aan in Java technologieën zoals J2SE en presenteerde hij als eerste in de wereld, met succes, een kwetsbaarheid aan op het mobiele Java platform J2ME waarbij meer dan 250 miljoen apparaten dreigden te worden besmet.