Saugumo tyrinėtojas teigia aptikęs šviesoforų valdiklio trūkumą, dėl kurio piktybiniai įsilaužėliai galėtų pakeisti šviesas ir susidaryti kamščius.
Kibernetinio saugumo įmonės „Red Threat“ tyrėjas Andrew Lemonas paskelbė du dienoraštį pranešimų ketvirtadienį išsamiai išdėstė savo platesnio tyrimo projekto, tiriančio eismo reguliuotojų saugumą, išvadas.
Vienas iš įrenginių, į kuriuos žiūrėjo Lemon, yra „Intelight X-1“, kur pasakė, kad rado klaidą kuri leidžia bet kam visiškai kontroliuoti šviesoforą. Anot Lemono, klaida yra labai paprasta ir pagrindinė: nėra autentifikavimo internetinėje įrenginio žiniatinklio sąsajoje.
„Aš tiesiog netikėjau“, – „TechCrunch“ sakė Lemonas. „Buvau tiesiog šokiruotas, kad kažkas tokio ryškaus galėjo būti praleista.
Lemonas sakė, kad bandė išsiaiškinti, ar įmanoma suaktyvinti tokį scenarijų, koks rodomas tokiuose filmuose Italų darbas, kur įsilaužėliai sankryžoje visus šviesas įjungia į žalią. Tačiau Lemonas sakė radęs kitą įrenginį, pavadintą Gedimų valdymo bloku, neleidžiantį tokiam scenarijui įvykti.
„Vis tiek galite keisti šviesas ir laiką. Taigi, jei norite nustatyti, kad laikas būtų trys minutės, į vieną pusę ir trys sekundės į kitą pusę. Iš esmės tai yra paslaugų atsisakymas fiziniame pasaulyje, todėl galite užkimšti srautą“, – sakė Lemon.
Neaišku, kiek pažeidžiamų „Intelight“ įrenginių galima pasiekti iš interneto. Lemonas sakė, kad jis ir jo komanda rado apie 30 atvirų prietaisų.
Lemonas sakė susisiekęs su „Q-Free“ – bendrove, kuriai priklauso „Intelight“, kad praneštų apie klaidą. Užuot atsakęs ir bendradarbiavęs su juo, kad ištaisytų trūkumą, Q-Free išsiuntė jam teisinį laišką, pasak Lemono, kuris paskelbė jo kopiją savo tinklaraščio įraše.
„Priimame tik pažeidžiamumo ataskaitas, susijusias su Q-Free produktais, kurie šiuo metu siūlomi parduoti. Neturime išteklių, reikalingų pasenusių elementų analizei apsvarstyti“, – rašoma laiško kopijoje, kurią, atrodo, pasirašė „Q-Free“ generalinis advokatas Stevenas D. Tibbetsas.
Laiško kopijoje rašoma, kad Lemon analizuotas įrenginys neparduodamas ir kad tai, kaip jis ir Red Threat jį tyrinėjo, galėjo pažeisti kovos su įsilaužimu įstatymą. Sukčiavimo kompiuteriu ir piktnaudžiavimo kompiuteriu įstatymas. Bendrovė nenurodė, kaip Lemono tyrimai galėjo pažeisti įstatymus. Tada laiške „Lemon and Red Threat“ buvo paprašyta įsipareigoti neskelbti pažeidžiamumo detalių, nes tai gali pakenkti nacionaliniam saugumui.
„Mes taip pat raginame Red Threat apsvarstyti paskelbimo poveikį ypatingos svarbos infrastruktūros, kurioje naudojami Q-Free įrenginiai, saugumui. Priešingai jūsų nurodytiems tikslams pagerinti kibernetinį saugumą, pažeidžiamumų paskelbimas gali paskatinti atakas prieš infrastruktūrą ir sukelti susijusią atsakomybę už raudonąją grėsmę“, – rašoma laiške.
Lemonas sakė, kad šis laiškas jį nustebino ir kad „iš tikrųjų atrodė, kad jie tiesiog bando mane nutildyti teisiniais grasinimais ir viskuo“.
Q-Free neatsakė į kelis prašymus pakomentuoti.
Lemonas teigė, kad atlikdamas tyrimą jis taip pat rado kai kuriuos „Econolite“ sukurtus eismo valdymo įrenginius, veikiančius internetu, ir kuriuose veikia protokolas, kuris gali būti pažeidžiamas.
Protokolas vadinamas NTCIP ir tai yra pramonės standartas šviesoforų valdikliams. Lemonas teigė, kad įrenginių, kurie rodomi internete, reikšmes galima keisti sistemoje neprisijungus. Jo teigimu, šios vertės gali valdyti, kiek laiko mirksi žibintai, arba nustatyti visus žibintus sankryžoje. mirksėti tuo pačiu metu.
Lemonas sakė, kad nesusisiekė su Econolite, nes NTCIP problemos buvo žinomos anksčiau.
Sunny Chakravarty, Econolite inžinerijos viceprezidentas, patvirtino tai, kai buvo pasiektas komentaras. Chakravarty sakė „TechCrunch“, kad „Lemon“ išbandytų „Econolite“ įrenginių eksploatavimo laikas baigėsi „daug metų, ir visi vartotojai turėtų pakeisti šiuos senesnius valdiklius atitinkamais naujesniais gaminių modeliais“.
„Econolite primygtinai rekomenduoja, kad klientai vadovautųsi geriausios praktikos pavyzdžiais dėl tinklo saugumo ir prieigos kontrolės visai saugai svarbiai įrangai ir apribotų prieigą prie tokios įrangos atvirame viešajame internete”, – sakė Chakravarty. „Autorio atlikti veiksmai su valdikliu būtų buvę neįmanomi, jei įrenginys nebūtų veikiamas atviro interneto.