現(xiàn)代火車漏洞多多入侵并非難事

2016-01-07 09:49:55 安全牛　點(diǎn)擊量：評(píng)論 (0)

通對(duì)現(xiàn)代鐵路系統(tǒng)的分析，別有用心的攻擊者實(shí)現(xiàn)黑客版的驚天大劫案并非難事。入侵火車現(xiàn)代鐵路系統(tǒng)建立在一系列電子設(shè)備之上。比如，火車本身使用機(jī)車信號(hào)、牽引控制系統(tǒng)、自動(dòng)火車控制（ATC）系統(tǒng)來(lái)控制火車本身

通對(duì)現(xiàn)代鐵路系統(tǒng)的分析，別有用心的攻擊者實(shí)現(xiàn)黑客版的“驚天大劫案”并非難事。

入侵火車

現(xiàn)代鐵路系統(tǒng)建立在一系列電子設(shè)備之上。比如，火車本身使用機(jī)車信號(hào)、牽引控制系統(tǒng)、自動(dòng)火車控制（ATC）系統(tǒng)來(lái)控制火車本身、方向、保護(hù)系統(tǒng)、乘客信息和娛樂(lè)系統(tǒng)。

不論火車站是大是小，都依靠數(shù)字系統(tǒng)控制基于計(jì)算機(jī)的聯(lián)鎖（CBI）、集中流量控制、道口防護(hù)、調(diào)車場(chǎng)自動(dòng)化。數(shù)字系統(tǒng)也被用于牽引變電所、客票和乘客信息系統(tǒng)中。

數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）研究小組“奇愛(ài)（StrangeLove）”致力于分析 ICS 和 SCADA 系統(tǒng)，他們研究了鐵路系統(tǒng)的各個(gè)組件，讓政府意識(shí)到現(xiàn)存的安全漏洞，并引導(dǎo)供應(yīng)商和運(yùn)營(yíng)商思考鐵路網(wǎng)絡(luò)安全問(wèn)題。

StrangeLove 團(tuán)隊(duì)的研究成果部分基于來(lái)自世界各地的鐵路企業(yè)，這些企業(yè)希望弄清楚自己的數(shù)字資產(chǎn)是否會(huì)受到網(wǎng)絡(luò)威脅。這部分研究簽過(guò)保密協(xié)議（NDA），因此安全專家們沒(méi)辦法透露這方面的信息。

戈德奇克表示：“我們和鐵路運(yùn)營(yíng)商合作了三年，最初受到了很多懷疑，但現(xiàn)在他們已經(jīng)理解了威脅。”

對(duì)研究的公開(kāi)部分而言，專家和歐洲網(wǎng)絡(luò)與信息安全中心（ENISA）等運(yùn)營(yíng)商、機(jī)構(gòu)協(xié)同工作，嘗試提升鐵路系統(tǒng)的安全性。

奇愛(ài)小組的研究人員在數(shù)個(gè)聯(lián)鎖和火車控制設(shè)備和超過(guò)10臺(tái)網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)了安全問(wèn)題。基于他們的分析，專家認(rèn)為黑進(jìn)鐵路系統(tǒng)的難度并不大，不過(guò)需要對(duì)鐵路自動(dòng)化及其測(cè)試平臺(tái)有一定的了解。

關(guān)于動(dòng)機(jī)，黑客活動(dòng)分子和利益驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪者不太可能以鐵路為目標(biāo)，國(guó)家支持的黑客小組則有可能。

研究人員強(qiáng)調(diào)，鐵路系統(tǒng)使用的軟件通常是不公開(kāi)的。他們的研究基于對(duì)真實(shí)世界的模擬，而結(jié)論是這些系統(tǒng)并不安全。

鐵路系統(tǒng)漏洞

在最近召開(kāi)的混沌通訊大會(huì)上，奇愛(ài)小組的研究人員詳細(xì)解釋了歐洲國(guó)家廣泛使用的 SIBAS 火車防護(hù)系統(tǒng)。SIBAS 使用西門(mén)子公司的 SIMATIC 組件，比如提供基于 PC 的自動(dòng)化解決方案的 WinAC RTX 控制器。

安全專家指出，WinAC RTX 存在數(shù)個(gè)安全漏洞，包括能夠在未經(jīng)身份認(rèn)證的情況下控制設(shè)備，而且使用了 xmlHTTP ，這使得攻擊者可以編寫(xiě)出控制該設(shè)備的工具。

研究者還研究了另一個(gè)組件：基于計(jì)算機(jī)的聯(lián)鎖（CBI）。這是一種能夠防止防止軌道切換沖突的信號(hào)系統(tǒng)。

專家們相信，CBI 組件中存在三種威脅：安全性、經(jīng)濟(jì)性、可靠性。如果攻擊者能夠獲取該系統(tǒng)的權(quán)限，就可以在火車通過(guò)時(shí)切換軌道，造成物理破壞。使 CBI 組件崩潰、攔截控制信號(hào)或者提供錯(cuò)誤信息都會(huì)影響運(yùn)營(yíng)商的利潤(rùn)。而且，使通訊網(wǎng)絡(luò)崩潰可以影響系統(tǒng)的可靠性。

威脅源可以通過(guò)物理訪問(wèn)系統(tǒng)，或者使用社會(huì)工程讓擁有權(quán)限的人員執(zhí)行惡意代碼（比如插入 U 盤(pán)），實(shí)現(xiàn)針對(duì) CBI 的攻擊。

通過(guò)研究公開(kāi)信息，專家們發(fā)現(xiàn)鐵路系統(tǒng)物理安全的情況可謂“非常糟”。此外，密碼有時(shí)被直接寫(xiě)在了任何人都能看到的便簽上。比如，一部關(guān)于英國(guó)鐵路系統(tǒng)的紀(jì)錄片中顯示，顯示器上粘了一張寫(xiě)有用戶名和密碼的便簽。

黑客也可以針對(duì)連接到 CBI 和外部網(wǎng)絡(luò)的多種組件展開(kāi)攻擊。

在印度和德國(guó)等國(guó)家，有些企業(yè)專注于鐵路通信領(lǐng)域。在德國(guó)，DB Netze 公司提供定制的 GSM-R SIM 卡，它們被用于連接火車和控制中心。

這些 SIM 卡的加密措施很完備，但威脅源可以使用 GSM 干擾器，并嘗試干擾火車和控制中心間的通訊。研究人員指出，在使用歐洲火車控制系統(tǒng)（European Train Control System，ETCS）特定幾個(gè)層級(jí)的某些地區(qū)，如果火車調(diào)制解調(diào)器和控制中心間的通訊中斷，火車會(huì)自動(dòng)停下。這意味著，如果攻擊者能夠干擾此類通訊，就可能強(qiáng)制火車停車。

研究人員表示，GSM-R 存在的另一個(gè)問(wèn)題是，有些手機(jī)可以通過(guò) SMS 控制該設(shè)備。為了防止濫用，存在基于 PIN 的驗(yàn)證功能，然而默認(rèn)的密碼是1234，而研究人員相信工程師基本不會(huì)去改這個(gè)密碼。一些 GSM-R 設(shè)備使用的遠(yuǎn)程通訊（Over the Air，OTA）管理功能也存在安全風(fēng)險(xiǎn)，特別是在一些設(shè)備開(kāi)始支持 OTA 固件升級(jí)之后。

根據(jù) Positive Technologies 公司研究人員在12月上旬得出的成果，可以使用一種移動(dòng)路由攻擊策略進(jìn)攻GSM-R 使用的調(diào)制解調(diào)器。研究人員在當(dāng)時(shí)的演示中證明，如果攻擊者可以入侵調(diào)制解調(diào)器，比如通過(guò) OTA 推送惡意固件升級(jí)，就能夠入侵與之相連的主機(jī)。值得一提的是，Positive Technologies 公司研究小組的一部分成員也屬于 SCADA StrangeLove。

對(duì)鐵路系統(tǒng)而言，如果黑客能夠入侵調(diào)制解調(diào)器，就可以劫持火車自動(dòng)控制系統(tǒng)，進(jìn)而控制火車。

現(xiàn)代火車還裝有娛樂(lè)系統(tǒng)、乘客信息系統(tǒng)、內(nèi)部通話系統(tǒng)、IP 攝像頭、無(wú)線熱點(diǎn)，由于這些系統(tǒng)全部連接到同一個(gè)通訊信道，它們?nèi)即嬖陲L(fēng)險(xiǎn)。

研究人員研究了來(lái)自 Bintec 、 Digi 、 Moxa 、 NetModule 、 Sierra Wireless 等供應(yīng)商的多種設(shè)備。它們存在的一個(gè)問(wèn)題在于，其固件通常使用硬編碼的 SSL 證書(shū)私鑰，外加遠(yuǎn)程管理功能。這讓本應(yīng)安全的通訊暴露在了中間人攻擊的威脅之下，攻擊者甚至可以遠(yuǎn)程登入設(shè)備。攻擊者也可以使用泄露的密鑰采集設(shè)備指紋信息，并使用 Shodan 、 Censys 等物聯(lián)網(wǎng)搜索引擎尋找互聯(lián)網(wǎng)上類似的其它設(shè)備。

由于使用了默認(rèn)的驗(yàn)證信息，鐵路系統(tǒng)使用的設(shè)備可能遭到攻擊，研究人員還找到了遠(yuǎn)程管理漏洞。

此外，有些設(shè)備的 USB 接口打開(kāi)了自動(dòng)運(yùn)行功能。該功能的初衷是方便工程師進(jìn)行軟件和配置升級(jí)，但也帶來(lái)了安全風(fēng)險(xiǎn)。最終，研究人員明確指出，盡管鐵路系統(tǒng)似乎與互聯(lián)網(wǎng)隔絕，攻擊者仍可以利用多種組件中的漏洞遠(yuǎn)程觸及關(guān)鍵系統(tǒng)。

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊