Kutatók a modern vasúti közlekedés IT-biztonsági kockázataira hívták fel a figyelmet.

Magyarországon is évek óta dolgoznak a vasúti közlekedésre specializált GSM-R kommunikációs rendszer kiépítésén. A komplex, gyakorlatilag a teljes európai vasúthálózatra kiterjedő rendszer egyszerre segíti majd az úton lévő szerelvényeken a személyzet kommunikációját, a tolatási műveleteket, az irányítói kommunikációt és – probléma esetén – a rendvédelmi szervekkel, katasztrófaelhárítással, tűzoltósággal stb. történő kommunikációt is.

Magyarországon először 2006-ban rugaszkodtak neki a több tízmilliárdos gigaprojektnek, majd több sikertelen kísérlet után végül 2012 végén sikerült is elkezdeni az érdemi munkát a tender újbóli kiírásával. (Ekkor már sürgetett az idő, mivel az uniós támogatás is kockán forgott.)

A projekt eddigi eredményeiről a Bitport is rendre beszámolt. Egy témáról azonban mindeddig nem esett szó: a rendszer biztonsági kérdéseiről. A közelmúltban egy német konferencián néhány kutató azt mutatta be, milyen veszélyei vannak a vasúthálózat korszerű kommunikációs csatornáinak. Mivel a GSM-R rendszer nagyon sok mindenre kihat a vasúthálózatokban, érzékeny pontja az egész európai rendszernek. De vannak más érzékeny pontok is.

Ez is hackelhető

Mivel a vasúti hálózatok is digitalizálódnak, a vonatok is hackelhetőkké váltak. Ráadásul elég könnyen – állította egy németországi konferencián az ipari rendszerek biztonságát kutató SCADA StrangeLove három szakértője. A motiváció itt elsősorban nem a pénz- vagy információszerzés, hanem a kiberterrorizmus.

Sergey Gordeychik, Alexander Timorin és Gleb Gritsai három évig kutatta a témát, és a december végén megrendezett hamburgi 32C3-n, azaz a 32. Chaos Communication konferencián álltak elő az eredményekkel, melyeket a Biztonságportál összegzett. (A konferencia szervezője a iPhone-ok ujjlenyomat-azonosítójának töréséről is ismert Chaos Computer Club.)

A kutatók számos vasúttársaságnál vizsgálódtak, hogy feltárhassák a biztonsági kockázatokat. Igyekeztek minden részterületet megvizsgálni a biztosítóberendezésektől a vonatirányítási rendszereken át az utasok számára is elérhető vezeték nélküli hálózatokig.

Kockázatok sokaságára derült fény

A konferencián egy sor kockázati tényezőt bemutattak. Vizsgálták például a vasúttársaságoknál használt SIBAS, azaz Simatic-alapú automatizálási rendszereket (a Siemens-gyökerű rendszert az ipari automatizálás számos területén alkalmazzák). Ennek implementációiban például olyan hibákat találtak, melyek révén az erre kapcsolt eszközök hitelesítés nélkül is vezérelhetővé váltak.

Komolyabb kockázata van annak a sérülékenységnek, amit az egyik CBI (computer-based interlocking), azaz vasúti jelzőrendszer elemzésekor. A pályán ez igazítja el a mozdonyvezetőt a teendőkről, lassításról, megállásról, a szabad pályáról stb. A három kutatónak sikerült bebizonyítania, hogy ezt a rendszer be lehet dönteni. Az is kivitelezhető egy kibertámadás során, hogy a támadók akkor állítsanak át egy váltót, amikor a vonat áthalad rajta.

Megkapta magáét konkrétan a GSM-R rendszer is. A kutatók szerint GSM-R titkosítási szintje megfelelő, de speciális GSM-zavaróval (ilyenek jammerek egyébként lényegében bárhol kaphatók, és már csak ügyesen kell átalakítani a célhoz) megbénítható a mobil adatforgalmazás. Ha pedig a mozdony elveszti a kapcsolatot a menetirányítással, akkor onnantól sok minden történhet vele, például súlyos fennakadások lehetneka vonatközlekedésben.

És a soha ki nem haló hanyagság

A technikai problémák legtöbbször orvosolhatók. Az emberi hanyagság viszont örök, és ez itt is bebizonyosodott. A kutatók számos helyen találtak gyári alapértelemezett jelszavakkal elérhető eszközöket, PIN-kódként 1234-et használó SIM-kártyákat.

Nem túl biztató a helyzet az utasokat kiszolgáló rendszereknél sem. Az utastájékoztatási megoldások, a wifi-berendezések és az IP-kamerák általában ugyanazt az adatcsatornát használják, ami növeli a sebezhetőségüket.

A SCADA StrangeLove kutatói hangsúlyozták: a feltárt biztonsági hiányosságokat alapvetően nem nehéz kihasználni, de kell ismerni hozzá a támadott céleszközök működését. De mivel fontos területről van szó, kiemelten kell kezelni ezeknek a rendszereknek a biztonságát.

Érdemes megnézni az előadás videofelvételét, a szakértők látványos demókkal is illusztrálták kutatásuk eredményeit.

Biztonság

Kanadai költözéssel hergeli Trumpot az Amazon

Alighogy az Apple bejelentett 20 ezer új amerikai munkahelyet, az Amazon meglebegtette, hogy 50 ezer állást vihet Kanadába.
 
Hirdetés

Nagy kihívás blockchain szakértőt találni, pedig már van rá igény

Ha kell, projekt alapon, ha kell, klasszikus fejvadász módjára közvetíti az itthon is nagy számban keresett informatikai szakértőket a Bluebird International Zrt.

Hogyan alakítják át a munkaerőpiacon bekövetkezett változások a HR-cégek tevékenységét? Milyen új eszközök és módszerek jelennek meg a fejvadászatban?

a melléklet támogatója a Bluebird

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.