Kutatók a modern vasúti közlekedés IT-biztonsági kockázataira hívták fel a figyelmet.
Hirdetés
 

Magyarországon is évek óta dolgoznak a vasúti közlekedésre specializált GSM-R kommunikációs rendszer kiépítésén. A komplex, gyakorlatilag a teljes európai vasúthálózatra kiterjedő rendszer egyszerre segíti majd az úton lévő szerelvényeken a személyzet kommunikációját, a tolatási műveleteket, az irányítói kommunikációt és – probléma esetén – a rendvédelmi szervekkel, katasztrófaelhárítással, tűzoltósággal stb. történő kommunikációt is.

Magyarországon először 2006-ban rugaszkodtak neki a több tízmilliárdos gigaprojektnek, majd több sikertelen kísérlet után végül 2012 végén sikerült is elkezdeni az érdemi munkát a tender újbóli kiírásával. (Ekkor már sürgetett az idő, mivel az uniós támogatás is kockán forgott.)

A projekt eddigi eredményeiről a Bitport is rendre beszámolt. Egy témáról azonban mindeddig nem esett szó: a rendszer biztonsági kérdéseiről. A közelmúltban egy német konferencián néhány kutató azt mutatta be, milyen veszélyei vannak a vasúthálózat korszerű kommunikációs csatornáinak. Mivel a GSM-R rendszer nagyon sok mindenre kihat a vasúthálózatokban, érzékeny pontja az egész európai rendszernek. De vannak más érzékeny pontok is.

Ez is hackelhető

Mivel a vasúti hálózatok is digitalizálódnak, a vonatok is hackelhetőkké váltak. Ráadásul elég könnyen – állította egy németországi konferencián az ipari rendszerek biztonságát kutató SCADA StrangeLove három szakértője. A motiváció itt elsősorban nem a pénz- vagy információszerzés, hanem a kiberterrorizmus.

Sergey Gordeychik, Alexander Timorin és Gleb Gritsai három évig kutatta a témát, és a december végén megrendezett hamburgi 32C3-n, azaz a 32. Chaos Communication konferencián álltak elő az eredményekkel, melyeket a Biztonságportál összegzett. (A konferencia szervezője a iPhone-ok ujjlenyomat-azonosítójának töréséről is ismert Chaos Computer Club.)

A kutatók számos vasúttársaságnál vizsgálódtak, hogy feltárhassák a biztonsági kockázatokat. Igyekeztek minden részterületet megvizsgálni a biztosítóberendezésektől a vonatirányítási rendszereken át az utasok számára is elérhető vezeték nélküli hálózatokig.

Kockázatok sokaságára derült fény

A konferencián egy sor kockázati tényezőt bemutattak. Vizsgálták például a vasúttársaságoknál használt SIBAS, azaz Simatic-alapú automatizálási rendszereket (a Siemens-gyökerű rendszert az ipari automatizálás számos területén alkalmazzák). Ennek implementációiban például olyan hibákat találtak, melyek révén az erre kapcsolt eszközök hitelesítés nélkül is vezérelhetővé váltak.

Komolyabb kockázata van annak a sérülékenységnek, amit az egyik CBI (computer-based interlocking), azaz vasúti jelzőrendszer elemzésekor. A pályán ez igazítja el a mozdonyvezetőt a teendőkről, lassításról, megállásról, a szabad pályáról stb. A három kutatónak sikerült bebizonyítania, hogy ezt a rendszer be lehet dönteni. Az is kivitelezhető egy kibertámadás során, hogy a támadók akkor állítsanak át egy váltót, amikor a vonat áthalad rajta.

Megkapta magáét konkrétan a GSM-R rendszer is. A kutatók szerint GSM-R titkosítási szintje megfelelő, de speciális GSM-zavaróval (ilyenek jammerek egyébként lényegében bárhol kaphatók, és már csak ügyesen kell átalakítani a célhoz) megbénítható a mobil adatforgalmazás. Ha pedig a mozdony elveszti a kapcsolatot a menetirányítással, akkor onnantól sok minden történhet vele, például súlyos fennakadások lehetneka vonatközlekedésben.

És a soha ki nem haló hanyagság

A technikai problémák legtöbbször orvosolhatók. Az emberi hanyagság viszont örök, és ez itt is bebizonyosodott. A kutatók számos helyen találtak gyári alapértelemezett jelszavakkal elérhető eszközöket, PIN-kódként 1234-et használó SIM-kártyákat.

Nem túl biztató a helyzet az utasokat kiszolgáló rendszereknél sem. Az utastájékoztatási megoldások, a wifi-berendezések és az IP-kamerák általában ugyanazt az adatcsatornát használják, ami növeli a sebezhetőségüket.

A SCADA StrangeLove kutatói hangsúlyozták: a feltárt biztonsági hiányosságokat alapvetően nem nehéz kihasználni, de kell ismerni hozzá a támadott céleszközök működését. De mivel fontos területről van szó, kiemelten kell kezelni ezeknek a rendszereknek a biztonságát.

Érdemes megnézni az előadás videofelvételét, a szakértők látványos demókkal is illusztrálták kutatásuk eredményeit.

Biztonság

Robotok lehetnek a jövő olcsó gyógytornászai

Olyan szakmákat is átvehetnek az intelligens robotok, melyekről korábban azt gondolták, hogy a digitalizáció nagyon sokáig nem veszélyezteti létüket.
 
Spóroljon időt, szerezzen több bevételt, előzze meg az ügyfélvesztést.

a melléklet támogatója a MiniCRM

Hirdetés

Kitörési pont a kkv-knak

Ahhoz, hogy Magyarország fejlődni tudjon, elengedhetetlen a kis-, és középvállalkozások növekedése. De mi kell ahhoz, hogy ez teljesüljön? Cikkünkből kiderül! (x)

Egy nemzetközi kutatás szerint a szoftvergyártók auditja nem tesz jót az innovációnak, és a versenyt is gátolja. Segítsen felmérni a hazai helyzetet!
A VISZ az Infotér konferencián tárgyalta ki az IT-szakma képzési és munkaerő-piaci problémáit oktatási szakértők és cégvezetők segítségével.

2 millió forinttal díjazza a VISZ a legjobb középiskolát

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.