Kutatók a modern vasúti közlekedés IT-biztonsági kockázataira hívták fel a figyelmet.

Magyarországon is évek óta dolgoznak a vasúti közlekedésre specializált GSM-R kommunikációs rendszer kiépítésén. A komplex, gyakorlatilag a teljes európai vasúthálózatra kiterjedő rendszer egyszerre segíti majd az úton lévő szerelvényeken a személyzet kommunikációját, a tolatási műveleteket, az irányítói kommunikációt és – probléma esetén – a rendvédelmi szervekkel, katasztrófaelhárítással, tűzoltósággal stb. történő kommunikációt is.

Magyarországon először 2006-ban rugaszkodtak neki a több tízmilliárdos gigaprojektnek, majd több sikertelen kísérlet után végül 2012 végén sikerült is elkezdeni az érdemi munkát a tender újbóli kiírásával. (Ekkor már sürgetett az idő, mivel az uniós támogatás is kockán forgott.)

A projekt eddigi eredményeiről a Bitport is rendre beszámolt. Egy témáról azonban mindeddig nem esett szó: a rendszer biztonsági kérdéseiről. A közelmúltban egy német konferencián néhány kutató azt mutatta be, milyen veszélyei vannak a vasúthálózat korszerű kommunikációs csatornáinak. Mivel a GSM-R rendszer nagyon sok mindenre kihat a vasúthálózatokban, érzékeny pontja az egész európai rendszernek. De vannak más érzékeny pontok is.

Ez is hackelhető

Mivel a vasúti hálózatok is digitalizálódnak, a vonatok is hackelhetőkké váltak. Ráadásul elég könnyen – állította egy németországi konferencián az ipari rendszerek biztonságát kutató SCADA StrangeLove három szakértője. A motiváció itt elsősorban nem a pénz- vagy információszerzés, hanem a kiberterrorizmus.

Sergey Gordeychik, Alexander Timorin és Gleb Gritsai három évig kutatta a témát, és a december végén megrendezett hamburgi 32C3-n, azaz a 32. Chaos Communication konferencián álltak elő az eredményekkel, melyeket a Biztonságportál összegzett. (A konferencia szervezője a iPhone-ok ujjlenyomat-azonosítójának töréséről is ismert Chaos Computer Club.)

A kutatók számos vasúttársaságnál vizsgálódtak, hogy feltárhassák a biztonsági kockázatokat. Igyekeztek minden részterületet megvizsgálni a biztosítóberendezésektől a vonatirányítási rendszereken át az utasok számára is elérhető vezeték nélküli hálózatokig.

Kockázatok sokaságára derült fény

A konferencián egy sor kockázati tényezőt bemutattak. Vizsgálták például a vasúttársaságoknál használt SIBAS, azaz Simatic-alapú automatizálási rendszereket (a Siemens-gyökerű rendszert az ipari automatizálás számos területén alkalmazzák). Ennek implementációiban például olyan hibákat találtak, melyek révén az erre kapcsolt eszközök hitelesítés nélkül is vezérelhetővé váltak.

Komolyabb kockázata van annak a sérülékenységnek, amit az egyik CBI (computer-based interlocking), azaz vasúti jelzőrendszer elemzésekor. A pályán ez igazítja el a mozdonyvezetőt a teendőkről, lassításról, megállásról, a szabad pályáról stb. A három kutatónak sikerült bebizonyítania, hogy ezt a rendszer be lehet dönteni. Az is kivitelezhető egy kibertámadás során, hogy a támadók akkor állítsanak át egy váltót, amikor a vonat áthalad rajta.

Megkapta magáét konkrétan a GSM-R rendszer is. A kutatók szerint GSM-R titkosítási szintje megfelelő, de speciális GSM-zavaróval (ilyenek jammerek egyébként lényegében bárhol kaphatók, és már csak ügyesen kell átalakítani a célhoz) megbénítható a mobil adatforgalmazás. Ha pedig a mozdony elveszti a kapcsolatot a menetirányítással, akkor onnantól sok minden történhet vele, például súlyos fennakadások lehetneka vonatközlekedésben.

És a soha ki nem haló hanyagság

A technikai problémák legtöbbször orvosolhatók. Az emberi hanyagság viszont örök, és ez itt is bebizonyosodott. A kutatók számos helyen találtak gyári alapértelemezett jelszavakkal elérhető eszközöket, PIN-kódként 1234-et használó SIM-kártyákat.

Nem túl biztató a helyzet az utasokat kiszolgáló rendszereknél sem. Az utastájékoztatási megoldások, a wifi-berendezések és az IP-kamerák általában ugyanazt az adatcsatornát használják, ami növeli a sebezhetőségüket.

A SCADA StrangeLove kutatói hangsúlyozták: a feltárt biztonsági hiányosságokat alapvetően nem nehéz kihasználni, de kell ismerni hozzá a támadott céleszközök működését. De mivel fontos területről van szó, kiemelten kell kezelni ezeknek a rendszereknek a biztonságát.

Érdemes megnézni az előadás videofelvételét, a szakértők látványos demókkal is illusztrálták kutatásuk eredményeit.

Biztonság

Egy igazán rövid lista: egyetlen cég auditálhatja a magyar banki informatikát

Ahogy azt augusztusban már a szakma sejtette, csak egyetlen cég, a Hunguard Kft. felelt meg az auditálást szabályzó kormányrendeletnek.
 
Hirdetés

Mindent a legújabb biztonsági fenyegetésekről a lehető leggyorsabban

A felhőalapú IBM XForce Exchange lehetővé teszi a legfrissebb globális biztonsági fenyegetések megbízható kutatását és a témában jártas szakértőkkel való konzultációt.

Nincsen végtelen kapacitás, még a korábban betölthetetlennek hitt tárterületek is előbb-utóbb szűknek bizonyulnak. A bővítés pedig komoly kihívásokat rejt magában.

a melléklet támogatója a QNAP

Hirdetés

QNAP Hybrid Backup Sync – így védjük adatainkat

Az adatmentés és –helyreállítás különösen fontos feladat a NAS-okon tárolt adatok biztonsága tekintetében. Erre a kihívásra kínál hatékony megoldást a QNAP Hybrid Backup Sync, mellyel különböző felhőszolgáltatók menedzselhetők egy helyen, titkosított információkezelés mellett.

Azt hiszi, az üzlet tévedésből ad meg tegnapi teljesítési határidőt az IT-nak? Sajnos ön az, aki téved, nem az üzleti részleg. Takács Tibor (MFB) írása.

A zseniket is könnyű integrálni, ha megkérdezzük őket

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Ünnepel a Linux-közösség. Linus Torvalds operációs rendszere negyedszázados lett, és 25 év alatt megváltoztatta a világot. Szentiványi Gábor (ULX) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.