Pētnieki ielaužas Mičiganas luksoforos

Vai jums kādreiz ir laimējies nospiest trīs vai četras zaļās gaismas pēc kārtas, dodoties mājās no darba? Izrādās, ka tas varētu nebūt tik grūti, lai tas notiktu visu laiku.





Satiksmes uzlaušana: Pētnieki ieguva kontroli pār šiem luksoforiem pēc uzlaušanas gandrīz 100 tīklā savienotu krustojumu sistēmā.

Ar vietējās ceļu aģentūras atļauju Mičiganas pētnieki uzlauza gandrīz 100 bezvadu tīklā savienotus luksoforus, uzsverot drošības problēmas, kas, viņuprāt, varētu izplatīties tīkla satiksmes infrastruktūrā visā valstī. Vairāk nekā 40 valstis pašlaik izmanto šādas sistēmas, lai nodrošinātu pēc iespējas efektīvāku satiksmes plūsmu, palīdzot samazināt emisijas un kavēšanos.

Komanda, kuru vadīja Mičiganas Universitātes datorzinātnieks J. Alekss Haldermans , atklāja trīs galvenās nepilnības luksoforu sistēmā: nešifrēti bezvadu savienojumi, noklusējuma lietotājvārdu un paroļu izmantošana, ko varēja atrast tiešsaistē, un atkļūdošanas ports, kuram ir viegli uzbrukt.



Ievainojamības, ko atklājam infrastruktūrā, nav vienas ierīces vai dizaina izvēles vaina, bet gan liecina par sistēmisku drošības apziņas trūkumu, ziņo pētnieki. papīrs viņi šonedēļ prezentē datoru drošības konferencē. Viņi neatklāja, kur tieši Mičiganā viņi veica pētījumu.

Lai gan ceļu aģentūra, kas ir atbildīga par sistēmas ieviešanu, nekad nav saskārusies ar nopietniem datoru drošības apdraudējumiem, šī iespēja kļūs vēl satraucošāka, jo transporta iestādes un automašīnu ražotāji izmēģinās jaunus infrastruktūras un transportlīdzekļu saziņas veidus, lai samazinātu sastrēgumus un negadījumus (sk. Automašīnas tuvojas krustojumam).

Viņiem par to ir jāuztraucas un jādomā par drošību — tai ir jābūt vienai no viņu galvenajām prioritātēm, saka Brandens Gena, absolvents, kurš strādāja pie projekta. Ir grūti panākt, lai cilvēki par šīm lietām rūpējas tāpat, kā ir grūti panākt, lai cilvēki nomainītu savas paroles.



Bezvadu tīklā savienotiem luksoforiem ir četras galvenās sastāvdaļas. Ir sensori, kas nosaka automašīnas, kontrolieri, kas izmanto sensoru datus, lai kontrolētu apgaismojumu noteiktā krustojumā, radioaparāti bezvadu saziņai starp krustojumiem, un darbības traucējumu pārvaldības vienības (MMU), kas atgriež gaismas uz drošām rezerves konfigurācijām, ja rodas nederīga konfigurācija. Piemēram, ja krustojumā katra gaisma ir zaļa, sistēma var atgriezties pie tā, ka tās visas kļūst par mirgojošām sarkanām gaismām.

Mičiganas pētnieki atklāja, ka ikviens, kam ir dators, kas var sazināties ar tādu pašu frekvenci kā krustojuma radioaparāti (šajā gadījumā 5,8 gigaherci), var piekļūt visam nešifrētajam tīklam. Lai iekļūtu visā sistēmā, nepieciešams tikai viens piekļuves punkts.

Pēc piekļuves vienam no sava mērķa tīkla kontrolieriem pētnieki varēja ieslēgt visas gaismas sarkanā krāsā vai mainīt blakus esošo krustojumu laiku, piemēram, lai pārliecinātos, ka kāds nospiež visas zaļās gaismas attiecīgajā maršrutā. Tie var arī aktivizēt gaismas MMU, mēģinot iestatīt nederīgas konfigurācijas.



Ziņojuma beigās Haldermans un viņa grupa piedāvā vienkāršus ieteikumus satiksmes infrastruktūras drošības uzlabošanai. Pirmkārt un galvenokārt, satiksmes sistēmas administratori nedrīkst izmantot noklusējuma lietotājvārdus un paroles. Viņiem arī jāpārtrauc nešifrēta saziņas pārraide, lai to varētu redzēt nejauši novērotāji un ziņkārīgie pusaudži.

Pētnieki atzīmē, ka viņu pētījumam ir ietekme ārpus luksoforiem. Arvien vairāk ierīču, piemēram, balsošanas iekārtas (skatiet sadaļu Kāpēc jūs nevarat balsot tiešsaistē ), automašīnas un medicīnas ierīces, tiek kontrolētas ar datoru, un galu galā tās tiks savienotas tīklā. Šīs fāzes izmaiņas, kā viņi to sauc, var izraisīt katastrofālas drošības kļūdas.

Vēl viens pētnieks, kurš pētījis satiksmes infrastruktūru, Sesars Serrudo, datoru drošības uzņēmuma galvenais tehnoloģiju speciālists IOActive Labs , saka, ka viņu nepārsteidza Mičiganas grupas atklājumi.



Mēs jau ilgu laiku esam atraduši ievainojamības, taču šķiet, ka aparatūras pārdevēji joprojām to “negūst”, Cerrudo rakstīja e-pastā. Viņi turpina darīt tās pašas kļūdas, ko programmatūras pārdevēji darīja pirms 10 gadiem.

paslēpties