Bir güvenlik araştırmacısı, trafik ışığı denetleyicisinde, kötü niyetli bilgisayar korsanlarının ışıkları değiştirmesine ve trafik sıkışıklığı yaratmasına olanak verebilecek bir kusur bulduğunu söylüyor.
Siber güvenlik firması Red Threat’te araştırmacı olan Andrew Lemon, Perşembe günü trafik kontrolörlerinin güvenliğini araştıran daha geniş bir araştırma projesine ilişkin bulgularını ayrıntılarıyla anlatan iki blog yazısı yayınladı.
Lemon’un incelediği cihazlardan biri Intelight X-1’di ve burada herkesin trafik ışıklarının tam kontrolünü ele geçirmesine izin veren bir hata bulduğunu söyledi. Lemon’a göre hata çok basit ve basit: Cihazın internete açık web arayüzünde kimlik doğrulama yok.
Lemon, TechCrunch’a “Sadece inanamadım” dedi. “Bu kadar göze çarpan bir şeyin gözden kaçmış olabileceği beni şok etti.”
Lemon, hackerların bir kavşaktaki tüm ışıkları yeşile çevirdiği The Italian Job gibi filmlerde gösterilene benzer bir senaryoyu tetiklemenin mümkün olup olmadığını görmeye çalıştığını söyledi. Ancak Lemon, Arıza Yönetim Birimi adı verilen başka bir cihazın bu senaryonun gerçekleşmesini engellediğini bulduğunu söyledi.
“Işıklarda ve zamanlamada hâlâ değişiklik yapabilirsiniz. Yani zamanlamayı bir yönde üç dakika, diğer yönde üç saniye olacak şekilde ayarlamak istiyorsanız. Temelde bu, fiziksel dünyada hizmet reddidir, böylece trafiği tıkayabilirsiniz” dedi Lemon.
İnternetten kaç tane hassas Intelight cihazına erişilebildiği belli değil. Lemon, kendisi ve ekibinin yaklaşık 30 açıkta cihaz bulduğunu söyledi.
Lemon, hatayı bildirmek için Intelight’ın sahibi olan Q-Free şirketiyle iletişime geçtiğini söyledi. Lemon’a göre Q-Free, yanıt vermek ve kusuru düzeltmek için onunla iletişime geçmek yerine ona yasal bir mektup gönderdi; kendisi de bunun bir kopyasını blog yazısında yayınladı.
“Yalnızca şu anda satışa sunulan Q-Free ürünlerle ilgili güvenlik açığı raporlarını kabul ediyoruz. Güncelliğini yitirmiş öğelerin analizini değerlendirmek için gerekli kaynaklara sahip değiliz,” diye okunan mektubun Q-Free’nin baş danışmanı Steven D. Tibbets tarafından imzalanmış olduğu anlaşılıyor.
Mektubun kopyasında Lemon’un analiz ettiği cihazın satılık olmadığı ve kendisinin ve Red Threat’in araştırma şeklinin bilgisayar korsanlığı karşıtı yasa olan Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası’nın ihlali olabileceği belirtiliyordu. Şirket, Lemon’un araştırmasının yasayı nasıl ihlal edebileceğini belirtmedi. Mektup daha sonra Lemon ve Red Threat’ten güvenlik açığının ayrıntılarını ulusal güvenliğe zarar verebileceği için yayınlamayacaklarını taahhüt etmelerini istedi.
“Ayrıca Red Threat’i, yayının Q-Free cihazlarının kullanıldığı kritik altyapının güvenliği üzerindeki etkisini dikkate almaya çağırıyoruz. Mektupta, siber güvenliği artırma yönünde belirttiğiniz hedeflerin aksine, güvenlik açıklarının yayınlanması altyapıya yönelik saldırıları teşvik edebilir ve bununla bağlantılı olarak Kırmızı Tehdit için sorumluluk doğurabilir” denildi.
Lemon, mektuba şaşırdığını ve “gerçekten beni yasal tehditler ve diğer şeylerle susturmaya çalışıyorlarmış gibi hissettiğini” söyledi.
Q-Free, birden fazla yorum talebine yanıt vermedi.
Lemon, araştırması sırasında Econolite tarafından üretilen bazı trafik kontrol cihazlarının internete maruz kaldığını ve potansiyel olarak savunmasız bir protokol çalıştırdığını bulduğunu söyledi.
Protokole NTCIP adı verilir ve trafik ışığı kontrolörleri için bir endüstri standardıdır. Lemon, internette görüntülenen cihazların sistemdeki değerleri oturum açmadan değiştirmenin mümkün olduğunu söyledi. Bu değerlerin, ışıkların ne kadar süreyle yanıp söneceğini kontrol edebileceğini veya bir kavşaktaki tüm ışıkları ayarlayabileceğini söyledi. aynı anda yanıp sönmek için.
Lemon, NTCIP sorunlarının önceden bilinmesi nedeniyle Econolite ile iletişime geçmediğini söyledi.
Econolite’nin mühendislikten sorumlu başkan yardımcısı Sunny Chakravarty, yorum almak için ulaşıldığında bunu doğruladı. Chakravarty, TechCrunch’a, Lemon tarafından test edilen Econolite cihazlarının “yıllardır kullanım ömrünün sonuna geldiğini ve tüm kullanıcıların bu eski kontrol cihazlarını uygun yeni ürün modelleriyle değiştirmesi gerektiğini” söyledi.
Chakravarty, “Econolite, müşterilerin güvenlik açısından kritik tüm ekipmanlar için ağ güvenliği ve erişim kontrolüne yönelik en iyi uygulamaları takip etmelerini ve bu tür ekipmanlara açık halka açık İnternet üzerinden erişimi kısıtlamalarını şiddetle tavsiye ediyor” dedi. “Cihaz açık internete açık olmasaydı, yazarın denetleyici üzerinde gerçekleştirdiği eylemler mümkün olmazdı.”
Kaynak: https://techcrunch.com/2024/07/18/hackers-could-create-traffic-jams-thanks-to-flaw-in-traffic-light-controller-researcher-says/