„A vasúti ipar a kiberbiztonsági kérdéseket ugyanazzal a playbook -tal kezeli, mint a biztosítási ipar” késleltetése, tagadása, a „mantra védelme”
Facepalm: Annak ellenére, hogy a kritikus infrastruktúra védelmére irányuló erőfeszítések egyre növekvő erőfeszítéseket tesznek, az amerikai vasúti ipar nagy része továbbra is a távoli hackelésre kiszolgáltatott technológiára támaszkodik – mondják a biztonsági kutatók és a szövetségi tisztviselők. A hibát, amely lehetővé teszi a támadó számára, hogy távolról bezárja a vonat fékeit, először több mint egy évtizeddel ezelőtt megjelölték, és csak a közelmúltban komoly lépéseket tett az iparágnak.
A sebezhetőséget 2012-ben Neil Smith független kutató fedezte fel, aki megállapította, hogy a tehervonatok elülső részét és hátulját összekötő kommunikációs protokoll-amelyet technikailag az edzés vége és a képernyő-távoli kapcsolási protokollnak neveznek-veszélyeztethető az, ha elfogott rádiójelek elfogása.
A rendszer, amelynek célja az operatív adatok és a biztonsági parancsok továbbítása, az 1980-as években a kongresszus által megbízott frissítésre nyúlik vissza, hogy megakadályozzák a rossz kommunikáció által okozott halálos baleseteket.
„A kizsákmányolás generálásának minden ismerete már létezik az interneten. Az AI még az Ön számára is felépítheti” – mondta Smith a 404 Media -nak. „A fizikai szempont valójában csak azt jelenti, hogy ezt nem tudta kiaknázni egy másik ország interneten keresztül, akkor fizikai távolságra kell lennie a vonattól (tehát), hogy a jele továbbra is megkapja.” Elmagyarázta, hogy még egy kis fogyasztói eszköz is elindíthat egy ilyen támadást néhány száz lábon belül, és hozzátette: „Ha olyan repülőgép lenne, ahol több watt teljesítményű, 30 000 lábnyira van, akkor kb. 150 mérföldes távolságot kaphat.”
Smith vizsgálata során a rádióprotokoll dekódolása volt, egy frekvenciaváltó -billentyűs modem segítségével. „A rádió link egy általánosan megtalált frekvenciaváltó kulcstartó adatmodem, amelyet könnyű azonosítani” – mondta. „Az igazi kihívás az volt, hogy a fordított tervezés az volt, amit a csomagban szereplő különféle bitek valójában jelentenek.”
Amikor Smith figyelmeztette az American Railroads (AAR) Szövetségét, amely az Észak -Amerika protokollját kezeli, kevés elkötelezettséget kapott. „Az American Railrounds szövetség, amely az Észak -Amerikában az EOT/Hot Radio Links -ben használt protokoll karbantartója, nem ismeri el a sebezhetőséget, hacsak nem tudja megmutatni nekik a valós életben” – emlékezett vissza Smith. „Nem engedélyezik a tesztelést is, hogy bebizonyítsák, hogy ez valódi kérdés.”
A 2016 -ban a hiba körüli nyilvános figyelmet fordították, amikor egy bostoni áttekintő cikk felvázolta a kockázatokat, és magában foglalta Smith megállapításait. Nappal később, az AAR akkori VP-je, a Biztonsági VP-je, Tom Farmer aggodalmakat játszott, és a jelentést „sok pontatlanság és téves jellemzés alapján” hívta.
Eközben a szövetségi tisztviselők elismerik a kihívást. Chris Butera, a CISA kiberbiztonsági ügyvezető igazgatóhelyettese megjegyezte, hogy a kizsákmányolást „a vasúti szektor érdekelt felei több mint egy évtizede megértették és figyelték”. Azt mondta azonban, hogy ezt nem könnyű kihasználni: a sebezhetőség kiaknázásához olyan személyre van szükség, aki fizikai hozzáféréssel rendelkezik a vasúti pályákhoz, a protokoll erős megértését és a speciális műszaki felszerelést-a nagyszabású támadások valószínűtlenné tenné, hogy az Egyesült Államokban széles körben jelenléte nélkülözhetetlen jelenléte nélkül. Hozzátette, hogy a CISA együttműködött az ipari partnerekkel a probléma megoldása érdekében, amely magában foglalja egy szabványosított protokoll frissítését, amely már folyamatban van a felülvizsgálat folyamatában.
Smith azonban vitatja, milyen nehéz lenne a támadás, és azt mondja, hogy a CISA saját értékelése a kizsákmányolás „alacsony támadás komplexitásának” utal. Szkeptikus az ipari reform ütemében is, mondván, hogy a frissítések évekbe telhetnek, és azzal vádolják a vasúti vezetõket, hogy követik a biztosítási ágazat „késleltetése, tagadása, védelme” megközelítését a biztonsági problémákhoz.
„Személyes véleményem szerint az amerikai vasúti ipar ugyanabban a playbook -tal kezeli a kiberbiztonsági kérdéseket, mint a biztosítási ágazat” késleltetése, tagadása, védje a „mantrát” – mondta.
Eddig az AAR nem adott ütemtervet a javítás bevezetésére, és nem válaszolt a megjegyzéskérelemre.