Gli hacker olandesi hanno trovato un modo semplice per scherzare con i semafori

gli-hacker-olandesi-hanno-trovato-un-modo-semplice-per-scherzare-con-i-semafori

In film come Die Hard 4 e The Italian Job , dirottare i semafori su Internet sembra facile. Ma l'hacking del semaforo nel mondo reale, dimostrato dai ricercatori della sicurezza negli anni passati , si è dimostrato più duro, richiedendo che qualcuno si trovasse nel raggio radio di ogni bersaglio luce. Ora una coppia di ricercatori olandesi ha dimostrato come gli hacker possano davvero falsificare i dati sul traffico per confondere facilmente i semafori da qualsiasi connessione a Internet, anche se fortunatamente non in stile hollywoodiano che causerebbe collisioni di massa.

Alla conferenza hacker Defcon giovedì, i ricercatori di sicurezza olandesi Rik van Duijn e Wesley Neelen presenteranno le loro scoperte sulle vulnerabilità in un sistema di “trasporto intelligente” che consentirebbe loro di influenzare i semafori almeno in 10 diverse città dei Paesi Bassi su Internet. Il loro hack avrebbe falsificato le biciclette inesistenti che si avvicinavano a un incrocio, inducendo il sistema del traffico a dare a quelle biciclette un semaforo verde e mostrando una luce rossa a tutti gli altri veicoli che cercavano di attraversare in una direzione perpendicolare. Avvertono che la loro tecnica semplice – che secondo loro non è stata risolta in tutti i casi in cui l'hanno testata – potrebbe potenzialmente essere utilizzata per infastidire i conducenti lasciati in attesa in un incrocio vuoto. O se i sistemi di trasporto intelligenti fossero implementati su una scala molto più ampia, potrebbe potenzialmente causare ingorghi di traffico diffusi.

“Siamo stati in grado di falsificare un ciclista, in modo che il il sistema stava vedendo un ciclista all'incrocio e potevamo farlo da qualsiasi posizione “, afferma Neelen. “Potremmo fare lo stesso trucco a molti semafori allo stesso tempo, da casa mia, e ti permetterebbe di interrompere il flusso del traffico attraverso una città.”

Neelen e van Duijn, che sono cofondatori della società di ricerca sulla sicurezza applicata Zolder, affermano di essersi incuriositi all'inizio di quest'anno su una raccolta di applicazioni per smartphone pubblicizzate dai Paesi Bassi che hanno affermato di dare più luce verde ai ciclisti quando l'app è attivata. Nei progetti pilota in tutti i Paesi Bassi, le città hanno integrato i segnali stradali con app come Schwung e CrossCycle, che condividono la posizione di un pilota con i sistemi di traffico e, quando possibile, accendono le luci in verde quando si avvicinano a un incrocio. Il sistema funziona come una versione basata su smartphone dei sensori che sono stati a lungo utilizzati per rilevare la presenza di un veicolo in attesa di una luce rossa, ottimizzata in modo che un ciclista non debba fermarsi.

Ma dato che le informazioni sulla posizione del ciclista provengono dallo smartphone dell'utente, i due ricercatori si sono immediatamente chiesti se potevano iniettare dati falsi per provocare il caos. “Siamo rimasti sorpresi dal fatto che l'input dell'utente sia autorizzato nei sistemi che controllano i nostri semafori”, afferma Neelen. “Ho pensato, in qualche modo sarò in grado di fingere questo. Ero davvero curioso di come lo stessero impedendo.”

A quanto pare, alcune delle app non erano non lo impedisce affatto. Neelen e van Duijin hanno scoperto di poter decodificare una delle app Android – hanno rifiutato di dire a WIRED quali app hanno testato, poiché i problemi riscontrati non sono ancora stati risolti – e generare il loro cosiddetto messaggio di consapevolezza cooperativa, o CAM, ingresso. Quei dati CAM falsificati, inviati usando uno script Python sul laptop degli hacker, potevano dire ai semafori che un ciclista che trasportava smartphone si trovava in qualsiasi posizione GPS scelta dagli hacker.

Inizialmente, l'app la cui camma immessa Neelen e van Duijn falsificati funzionava solo per influenzare un paio di semafori nella città olandese di Tilburg. Nei video seguenti, la coppia mostra di cambiare la luce da rossa a verde a comando, anche se con un ritardo nella prima demo. (La bicicletta inesistente non ha sempre la priorità immediata nel sistema di traffico ottimizzato per smartphone di Tilburg.)

Neelen e van Duijn in seguito hanno scoperto la stessa vulnerabilità di spoofing in un'altra app simile con un'implementazione molto più ampia: dicono che era stata distribuita a centinaia di semafori in 10 Città olandesi, sebbene lo abbiano testato solo nella città di Dordrecht, nei Paesi Bassi occidentali. “È la stessa vulnerabilità”, dice Neelen. “Accettano semplicemente qualsiasi cosa tu metta in loro.”

L'hacking dei semafori non è del tutto nuovo, sebbene raramente sia stato così semplice. Cesar Cerrudo, ricercatore presso la società di sicurezza IOActive, rivelato in 2014 che aveva decodificato e poteva falsificare le comunicazioni dei sensori del traffico per influenzare i semafori , compresi quelli nelle principali città degli Stati Uniti. I ricercatori dell'Università del Michigan hanno pubblicato un documento lo stesso anno sull'hacking delle scatole dei controllori del traffico situate agli incroci stradali , che ricevono gli input dai sensori stradali. Le vulnerabilità che Cerrudo e i ricercatori del Michigan hanno riscontrato probabilmente hanno interessato molti più semafori di quelli esposti dai ricercatori olandesi a Defcon. Cerrudo afferma inoltre di aver testato la sua tecnica a San Francisco un anno dopo averla rivelata alle società di sensori interessate e di aver scoperto che funzionava ancora lì.

Ma quelle tecniche precedenti richiedevano la comunicazione via radio con le apparecchiature vulnerabili, in modo che un hacker dovesse trovarsi nel raggio d'azione della radio, limitando l'attacco a un raggio di duemila piedi al massimo. La tecnica di Neelen e van Duijn funziona da remoto su Internet, quindi può essere eseguita in molti incroci contemporaneamente, da qualsiasi parte del mondo. “Questo attacco sembra molto facile da fare”, afferma Cerrudo. “È fantastico che tu possa semplicemente decodificare un'app e iniziare a inviare posizioni false sulle moto fantasma e causare problemi con il traffico.”

Neelen e van Duijn affermano di aver ora ha avvertito i creatori di entrambe le app che hanno scoperto di essere vulnerabili al loro spoofing. Nel caso del sistema più diffuso, tuttavia, hanno detto alla società solo un mese fa.

Ma anche quando le vulnerabilità che hanno trovato sono state risolte, dicono che la loro ricerca dovrebbe servire da avvertimento sui rischi più generali delle infrastrutture di trasporto “intelligenti”, poiché tali sistemi vengono implementati come parti chiave dell'ottimizzazione del traffico urbano oltre la semplice comodità per le biciclette. “Immagina di poter creare centinaia di falsi camion in tutte le città. Se il semaforo sbagliato inizia a diventare rosso, hai un problema e ciò causerebbe enormi ritardi”, afferma Van Duijn. “Ora che stiamo parlando di costruire questi sistemi di trasporto intelligenti, dobbiamo essere dannatamente sicuri di pensare di più alla sicurezza.”


Altre fantastiche storie CABLATE