Ukrypteret kommunikation til trafiklys giver hackere frit spil

4 kommentarer.  Hop til debatten
Et sensorsystem til at styre trafiklys sender data helt ukrypteret, så hackere kan nemt påvirke trafikstyringen. De amerikanske myndigheder er ligeglade.
2. maj 2014 kl. 11:43
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et klassisk skrækscenarium får nu nyt liv, nemlig at hackere overtager kontrollen med byens trafiklys og skaber kaos og trafikuheld - eller hjælper røvere til at flygte med rovet som i filmen The Italian Job.

Den argentinske it-sikkerhedsmand Cesar Cerrudo har nemlig opsporet en sårbarhed i trafikstyringssystemer fra leverandøren Sensys, som bliver brugt i mange storbyer i USA og Europa. Det skriver Wired.

Trafikken bliver nemlig reguleret ud fra inputs fra sensorer i vejen, som for nemheds skyld sender måledata trådløst videre til modtagerbokse og trafiklys. Det sker via en proprietær protokol, baseret på Zigbee-teknologi, men hvis en hacker sætter sig ned og kigger nærmere på datatrafikken, er det muligt at gennemskue protokollen, som viser sig at være eneste beskyttelse.

Den trådløse kommunikation er nemlig ikke krypteret, og der er ingen kontrol af de enheder, som sender data afsted, i form af for eksempel et signeret certifikat. En hacker kan altså introducere sin egen sender i netværket og forsøge at overdøve de legitime målinger fra vej-sensorerne.

Artiklen fortsætter efter annoncen

Man kan altså ikke styre trafiksignalerne direkte ad den vej, men ved at sende falske data om trafikken vil man normalt få signalerne til at reagere på disse inputs. Opdager byens trafikkontrol, at der er noget galt, vil de dog kunne skifte over til manuel styring eller et fast program, der ignorerer trafikmålingerne.

Cesar Cerrudo købte en af Sensys’ modtagerbokse, som kostede 21.500 kroner, for at kunne opsnappe trafikken og lære protokollen at kende. Men så snart man har protokollen på plads, kan falske sendinger ske fra billig og diskret hardware. Ved at bruge en drone, kan man også dække et større område ad gangen.

Efter sine opdagelser kontaktede den argentinske sikkerhedsforsker sidste sommer USA’s svar på Center for Cybersikkerhed, som er placeret under Homeland Security. Men svaret lød, at det var helt i orden med den ukrypterede datatrafik. Faktisk var det ifølge leverandøren Sensys et ønske fra kunderne, at der ikke var kryptering. Og så længe, systemet ikke var koblet på internettet, og den ukrypterede kommunikation ikke direkte styrer trafiksignalerne, var det ikke et problem, svarede Sensys.

Nye udgaver af sensorerne er dog blevet lidt mere sikre, da opdateringer til sensorernes firmware nu sendes i krypteret form, for at undgå at andre kan installere ny software til sensorerne. Men forbedringen gælder kun fremadrettet, da alle de eksisterende sensorer ikke bliver ændret.

4 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
4
5. maj 2014 kl. 03:55

Når det påstås at det kan skabe trafikuheld, er det så bevist at et "hacket" lyskryds kan vise grønt fra flere sider? Jeg tænker at der nok er en computer bag, som blot reagere på meldinger. Denne computer vil have nogle kombinationer af hvordan lyskrydset kan vise hhv. rødt og grønt. Eller sagt på en anden måde, mon ikke der er en regel der forbyder computeren at skifte til grønt, så længe der er gult eller grønt lys fra en anden side.

2
2. maj 2014 kl. 21:46

Skidt med om de er krypteret. Det er vel ingen hemmelighed hvad traffiklysene viser?

Men noget authentikering ville nok være på sin plads, hvis det ikke kræver fysisk adgang til systemet for at påvirke det.

3
2. maj 2014 kl. 22:37

Reverse engineering er jo meget nemmere hvis kommunikationen er i klar tekst... Binær krypteret strøm, det er jo op ad bakke at prøve at fortolke. Men ja autentikering er vigtigt. Tror bare bøvlet skræmmer ved udskiftning af defekte enheder osv.

Problemet jo begrænset. Det tyder ikke på grønne lys i begge retninger o.lign. er muligt...

1
2. maj 2014 kl. 20:35

Der er heller ingen grund til at gøre et problem ud af noget der ikke er et problem.