Любой может остановить движущийся поезд за $500. В США это не фикция, а протокол

Более чем через 12 лет после выявления проблемы Ассоциация американских железных дорог (AAR) начала замену устаревшего и небезопасного радиопротокола, через который можно было дистанционно активировать тормоза и остановить поезда в любой точке Северной Америки. Речь идёт о протоколе, соединяющем локомотивы (устройства Head-of-Train — HoT) с оборудованием на последнем вагоне, известным как End-of-Train device (EoT) или FRED — мигающее красное сигнальное устройство.

Такие приборы играют важную роль в мониторинге состояния длинных грузовых составов, которые нередко растягиваются на одну-две мили и требуют дистанционного управления. Кроме телеметрии, EoT способен принимать команды, включая критическую функцию — экстренное торможение с хвоста поезда, а не только с локомотива.

Проблема в том, что протокол, по которому передаются команды от HoT к EoT, долгое время использовал крайне слабую форму аутентификации — всего лишь простой контрольный BCH-код. Ещё в 2012 году инженер Нил Смит доказал, что с помощью оборудования стоимостью около 500 долларов и программно-определяемого радиоприёмника можно было отправлять поддельные команды торможения. Радиус действия сигнала зависел от условий — при прямой видимости, особенно с высоты, можно было передавать сигналы на десятки и сотни километров.

Масштаб возможных последствий трудно переоценить: резкое торможение способно не только повредить подвижной состав, но и привести к травмам пассажиров, авариям и серьёзным сбоям в транспортной системе. Смит уведомил об уязвимости ICS-CERT, а те — AAR, однако ассоциация годами игнорировала проблему, считая её чисто теоретической. Попытки Смита получить доступ к испытательной железнодорожной площадке во Флоренции также были заблокированы, несмотря на то что этот полигон принадлежит Федеральному железнодорожному управлению США.

Когда AAR отказалась модернизировать протокол, Смит опубликовал информацию об уязвимости в Boston Review, что привело к резкому опровержению AAR в деловом издании Fortune. После этого интерес к проблеме на время угас, пока в 2014 году другой специалист, Эрик Рейтер, независимо не обнаружил ту же уязвимость и не представил свои выводы на конференции DEFCON.

Сдвиг произошёл только летом 2024 года, когда Смит вновь добился рассмотрения вопроса — теперь уже при поддержке независимых подтверждений. В результате уязвимость получила номер CVE-2025-1727, а агентство CISA опубликовало официальное предупреждение. Почти одновременно с этим AAR анонсировала замену протокола HoT/EoT на новый стандарт IEEE 802.16t DPP, который обеспечивает подлинную аутентификацию и низкую задержку передачи данных.

Процесс модернизации обещает быть масштабным: требуется физическая замена примерно 75 000 устройств на территории США, Канады и Мексики. По оценке Смита, внедрение начнётся не раньше 2026 года и может занять от 5 до 7 лет. Стоимость проекта оценивается в $7–10 миллиардов. Именно этот финансовый барьер мог быть причиной столь долгого игнорирования проблемы.

Сейчас, когда детали уязвимости стали достоянием общественности, существует риск того, что ей захотят воспользоваться злоумышленники. Смит подчёркивает, что при наличии оборудования, извлечённого после аварии, определить факт атаки будет несложно — все команды записываются как на передающей, так и на приёмной стороне.