IOActive安全公司CTO、网络安全专家Cesar Cerrudo近日表示,他们已经对世界许多地方的交通灯控制系统和电子信号的安全组件进行了测试。他再次警告IT安全社区,存漏洞的交通信号灯将令他们处于风险之中。
黑掉交通信号灯没那么简单
对于普通民众来说,他们必须了解周围威胁他们的事物。Cerrudo和团队花了大量时间来研究这类系统的安全问题,并提供出解决方案。
交通信号灯无处不在,这类控制系统如果受到攻击,可能会造成极其严重的后果。这时,你也许会想到好莱坞电影里的黑客,打开笔记本就开始窃听系统的信号,进而解密、改数据、搞劫持,最终打败对手。当然这是电影情节,现实中可没这么简单,我们需要更多的时间去准备和分析,Cerrudo对此深有体会。
Cerrudo曾进行过入侵交通灯系统的实验,如好莱坞电影那般把红灯变成绿灯、误导紧急救援人员、封锁道路,甚至把普通街道变成高速公路。
他风趣地表示,当自己提交的漏洞被忽略时,就会在博客公开相关细节,以舆论压力迫使有关部门修复漏洞。
在这行工作久了,Cerrudo觉得自己都患上了职业病,老觉得身边到处都是危害自己的安全问题。
漏洞的修复情况和社会影响
最重要的是一座城市这么大,而技术每天都在进步发展,修复存有漏洞的交通信号灯是一个耗时耗钱的工作。很多时候,政府的预算是有限的,顾不了那么多的东西,所以黑客很容易找到有漏洞的交通灯系统。
交通灯系统的问题只是冰山一角,运用了SCADA系统如水利、空中管制、电网等大型公共设施,都存在这一政府无力修复的问题。
在两年前曾发生过一起案例,旧金山的铁路系统被关闭导致大量乘客被困,影响非常恶劣。
早在2006年就有两名洛杉矶的交通工程师,被起诉在四个路口监控交通灯控制信号,他们的行为导致那里的交通系统瞬间崩溃。
Cerrudo一直在进行此类模拟现实中黑客攻击的实验,他表示:
“以上所有漏洞问题其实存在于每个人的生活当中,但我很失望这些漏洞被提出后,并没有人进行解决。”
漏洞的防御需要精诚合作
Cesar Cerrudo和他的团队正在从防御角度来分析问题,这些交通灯系统有可能存在弱密码,也有可能出厂设置之时缺乏数据加密措施,这类问题是很常见的。
欢迎观看视频《黑掉美利坚(腐国、澳村及法兰西)的交通信号灯》!链接:https://www.youtube.com/watch?v=RviQ3YQTxMo
幸运的是,一些政府机构密切关注相关系统的安全问题,阿灵顿郡的首席安全官David Jordan就及时上报了相关问题给国土安全局和联邦调查局。Cesar Cerrudo联合了政府机构的安全专家、网络工程师,以及几家安全厂商协同工作。如果阿灵顿郡受到网络攻击,会发出警报通知其他地区。
Jordan表示,他并不认为政府或者国家非常了解这些地区的网络运营状态,网络之所以没有成为政府的主要关注目标之一,很大程度是因为政府并未意识到事情的严重性。
当然,政府工作人员也不喜欢承认它的危险性,因为要耗费不少资源来维护这些设施。
卡巴斯基的安全研究员Patrick Nielsen表示,
安全社区里振臂呼吁的专家们,与受影响的普通民众们,有着理念上的巨大差距。我们做这个项目是为了让他们都了解风险,以及找出如何解决问题的办法。
Cesar Cerrudo作为一个非营利项目的主管,他表示项目涉及到的技术比较宽泛,而安全问题又比较复杂。因此,他们并不想提出无法解决的漏洞。大家需要一起合作,才能使相关事业得到更好的发展。
Cesar Cerrudo和他的小伙伴们正在从事的工作是非常有价值的,世界上很多城市都能受益于这项安全研究项目。
*参考来源:SA,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
该文章由WP-AutoPost插件自动采集发布