32C3
Większość rzeczy, których na co dzień używamy, jest obsługiwanych lub kontrolowanych przez komputery – witamy w cyfrowej epoce! Od sprzętu przeznaczonego do telekomunikacji po samochody, od fabryk i zakładów energetycznych po porty i statki. Dlatego też nie powinno dziwić, że kwestie te również nie omijają pociągów i kolei.
Na konferencji Chaos Communication Congress, która odbyła się w Hamburgu 28 grudnia, badacze bezpieczeństwa Siergiej Gordiejcik, Alexander Timorin oraz Gleb Gritsai w imieniu zespołu SCADA StrangeLove zaprezentowali badanie na temat systemów komputerowych używanych przez koleje. Ten przegląd branży ukazał szeroką gamę systemów informatycznych funkcjonujących w przemyśle kolejowym – ich liczba jest zdecydowanie większa, niż można było oczekiwać.
Badanie ujawniło pokaźny zbiór technologii wykorzystywanych w kolei: systemy komputerowe w pociągach, systemy kontroli ruchu, sygnalizację i blokady na stacjach i przejściach dla pieszych, zdalne systemy pomiarowe, systemy informacji i rozrywki dla pasażerów, zarządzanie i sprzedaż biletów, a także wiele innych przedmiotów codziennego użytku, które wykorzystują rozmaite systemy (włączając w to sprzęt biurowy, komputery pracowników) i infrastrukturę sieciową.
Ponadto, cały ten galimatias staje się jeszcze bardziej skomplikowany, jeżeli weźmie się pod uwagę , że każdy kraj i przewoźnik kolejowy ma swoje własne standardy oraz metody wdrażania infrastruktury informatycznej. Z drugiej jednak strony, te wszystkie systemy związane z koleją, o których mowa powyżej, są ze sobą w „jakiś sposób” połączone, tak aby umożliwić pociągowi przejechanie z jednego miejsca do drugiego, bez większych trudności.
Dobrym przykładem, aby podkreślić złożoność tego zagadnienia jest Eurostar, szybkobieżny pociąg, który łączy Brukselę, Londyn i Paryż. Wszystkie systemy sygnalizacji, kontroli oraz ochrony, które obsługują pociąg, muszą być kompatybilne z belgijskimi, francuskimi i brytyjskimi standardami w tym samym czasie.
Niektóre z tych systemów po prostu ciężko nazwać odpornymi, nawet przez osobę, która ma tendencję do nadużywania tego słowa. Przykładem może być nowoczesna wersja systemów automatyzacji w pociągach Siemensa (które znajdują się w taborze nie tylko Deutsche Bahn, ale również w przedsiębiorstwach działających w Hiszpanii, Rosji, Chinach i Japonii), która bazuje na sterownikach Siemens WinAC RTX. System ten jest głównie obsługiwany przez komputery x86 z systemem operacyjnym Windows, które odegrały niegdyś kluczową rolę w „cyber-sadze” pt. Stuxnet.
Luki można również odnaleźć w złożonym systemie Computer Based Interlocking, który jest odpowiedzialny za kontrolowanie zwrotnic kolejowych. Na przykład, współczesne świadectwa homologacji dla nowych urządzeń stosowanych w londyńskim metrze muszą spełniać tak dziwne wymagania jak np. posiadanie systemu Windows XP, a nawet „Windows NT 4.0 Service Pack 6 lub nowszy”.
Innym problemem związanym z bezpieczeństwem komputerowych systemów nastawczych jest to, że tak potężne oprogramowanie jest często obsługiwane przez niekompetentnych pracowników, a tym samym ich bezpieczne użytkowanie jest wykluczone. Problem żółtych karteczek z loginem i hasłem przyklejonych do monitora niestety nie omija tej branży. A co jeżeli przez taką kartkę znajdującą się na komputerze, który właśnie został zhakowany, ktoś zdecyduje wypuścić obiekt ważący setki ton z prędkością 100 km/h w stronę innego dużego obiektu poruszającego się z tą samą prędkością, tylko w przeciwnym kierunku?
Innym problemem jest aspekt komunikacyjny w całej infrastrukturze kolejowej. Na przykład, poruszające się pociągi komunikują się z głównym systemem kontroli przez sieć GSM-R. Niestety podobnie jak normalne sieci GSM, także i w tym przypadku mamy do czynienia z lukami, które pozwalają m. in. na klonowanie kart SIM, zagłuszanie i przerywanie aktualizacji oprogramowania, wysyłanie poleceń za pomocą SMS-ów ( z domyślnym kodem PIN: 1234) i podobne.
W sieciach kolejowych (niezależnie od kraju) zdarzają się przypadki stosowania domyślnych danych uwierzytelniających lub – co gorsza – dane uwierzytelniające zapisane na stałe w sprzęcie. I oczywiście wszystko jest ze sobą wzajemnie powiązane i często połączone z internetem. Jeden z badaczy SCADA StrangeLove dosadnie opisuje w czym leży problem: „Kiedy podłączasz się do internetu, to internet również podłącza się do ciebie”. W rzeczywistości oznacza to, że każdy może mieć dostęp do nieodpowiednio zabezpieczonych aplikacji zainstalowanych na pokładzie faktycznie kursujących pociągów za pomocą wyspecjalizowanej wyszukiwarki Internetu Rzeczy jaką jest na przykład Shodan.
Badanie przedstawione na Chaos Communication Congress nie przedstawia jednak gotowych do użycia rozwiązań technologicznych, ani tym bardziej nie prezentuje kompletnej listy luk w konkretnym systemie komputerowym danej kolei. Niemniej jednak, wnioski z badań pokazują, gdzie potencjalni cyberprzestępcy mogą szukać prawdopodobnych luk, a także co mogą znaleźć i wykorzystać po przeprowadzeniu nawet płytkiej analizy cyfrowej infrastruktury kolejowej.
Jak w każdym innym przypadku związanym z infrastrukturą krytyczną, przedsiębiorstwa kolejowe powinny wdrożyć adekwatne środki bezpieczeństwa w sposób bardziej precyzyjny. Jak powiedział niedawno Jewgienij Kasperski „Uważam, że teraz nadszedł odpowiedni czas na zbudowanie bezpiecznych systemów przemysłowych i ich pełnej infrastruktury”.
Porady