Эксперт обнаружил бреши в безопасности АСУДД

image

Теги: уязвимость, конференция, безопасность

На хакерской конференции DEF CON 22 исследователь из IOActive продемонстрировал прототип устройства для получения доступа к АСУДД.

Автоматизированные системы управления дорожным движением (АСУДД) содержат уязвимости, которые могут эксплуатироваться хакерами и стать причиной заторов на дорогах и даже автомобильных аварий. Об этом сообщило издание Dark Reading со ссылкой на технического директора IOActive Сезара Керрудо (Cesar Cerrudo).

На хакерской конференции DEF CON 22, проходившей с 7 по 10 августа нынешнего года в Лас-Вегасе, Керрудо продемонстрировал прототип устройства для получения доступа, способного подключаться к сети датчиков, ретрансляторов и точек доступа, установленных вдоль дорог и магистралей в некоторых крупных городах США. По словам эксперта, он обнаружил, что устройства передают информацию в открытом виде и не аутентифицируют источник получаемых данных, оставляя их уязвимыми для потенциальной компрометации.

Керрудо сообщил, что в США насчитывается порядка 200 тысяч датчиков Sensys Networks, расположенных под дорожным покрытием, и ретрансляторов, установленных на столбах. Датчики определяют движение транспортного средства, и на основании этих данных устанавливается соответствующее время горения сигнала светофора и регулируются электронные дорожные знаки. Эксперт отметил, что злоумышленник может создавать поддельные сообщения на дорожных знаках и тем самым спровоцировать заторы и аварии.

Хакеру достаточно знать пересечения дорог, где установлен АСУДД. По словам Керрудо, он может перехватить данные и таким образом определить настройки системы и то, как она работает. Затем злоумышленник может осуществить атаку, подменив настоящие данные поддельными, и тогда точка доступа будет принимать фальшивую информацию о движении транспорта на дороге.

Поскольку датчики не определяют источник получаемых данных, хакер может «подсунуть» в виде обновлений вредоносную прошивку. Аппаратное обеспечение датчиков не имеет цифровой подписи, что намного облегчает установление на них вредоносного кода. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus