Dají se semafory být hacknuty?

Incident v současné době vyšetřují úřady. Ve skutečnosti však experti v různých zemích objevili technické zranitelnosti, které umožňují hackerský útok na semafory a jejich dálkové ovládání.

Falešné signály „klamou“ semafory

V říjnu 2024 nizozemská zpravodajská stanice RTL Nieuws informovala, že desítky tisíc semaforů v Nizozemsku by mohly být napadeny hackery a ovládany na dálku.

V této zemi, když se policie, sanitka nebo hasiči musí naléhavě pohybovat, má semafor funkci, která rozsvítí zelenou, aby dala přednost. Tento systém mohou využívat i některé druhy veřejné dopravy.

Hacker jménem Alwin Peppels však objevil zranitelnost při zkoumání systému, který propojuje semafory se záchrannými službami.

Alwin Peppels řekl televizi RTL Nieuws, že hackeři by mohli snadno změnit desítky tisíc semaforů instalovaných na tisících křižovatek v Nizozemsku pouhým stisknutím tlačítka. Mohli by to dokonce úspěšně udělat ze vzdálenosti několika kilometrů.

„Semafory jsou součástí naší kritické infrastruktury a často se stávají terčem zlých stran,“ řekl Peppels.

Aby se problém vyřešil, bude nutné fyzicky vyměnit semafory, uvedl Peppels. Silniční úřady na řešení pracují, ale očekává se, že to bude trvat nejméně do roku 2030.

Také v Nizozemsku v roce 2020 deník The Wired poznamenal, že výzkumníci Wesley Neelen a Rik van Duijn objevili vážnou zranitelnost v systému inteligentní semaforové signalizace nasazeném v nejméně 10 městech.

Tyto systémy využívají mobilní aplikace jako Schwung a CrossCycle ke zlepšení plynulosti dopravy pro cyklisty automatickým přepnutím na zelenou, když se blíží ke křižovatce.

Výzkum však ukazuje, že tento systém lze snadno zneužít. Zpětným inženýrstvím aplikace vědci zjistili, jak semafory reagují datovými pakety obsahujícími informace o poloze a pohybu vozidla (CAM).

Ukázali, že je možné vytvořit falešné kamery, které napodobují vzhled neexistujících cyklistů. To jim umožnilo dálkově ovládat semafory, a to i ze vzdálenosti několika kilometrů.

Falešné signály mohou způsobit libovolnou změnu barev semaforů, což narušuje provoz a zpožďuje ostatní vozidla. Pokud je to zneužito ke zlým účelům, představuje to potenciální bezpečnostní riziko.

Obcházení bezpečnostních vrstev

V červenci 2024 technologický zpravodajský web TechCrunch informoval, že expert na kybernetickou bezpečnost Andrew Lemon ze společnosti Red Threat Company objevil závažnou zranitelnost v zařízení pro ovládání semaforů Intelight X-1, které se běžně používá ke správě dopravních signálů na křižovatkách.

Lemon zjistil, že webové rozhraní zařízení Intelight X-1 nevyžaduje ověřování. Pouhý přístup k určité URL adrese umožňuje komukoli obejít bezpečnostní vrstvy a změnit nastavení bez nutnosti přihlašování.

Útočník by tak s neoprávněným přístupem mohl upravit načasování semaforů, prodloužit zelenou v jednom směru a zkrátit ji v ostatních směrech.

Lemon zdůraznil, že ačkoli bezpečnostní mechanismy brání současnému rozsvícení zelené ve všech směrech, změna načasování signálů by stále mohla způsobit vážné dopravní zácpy a zvýšit riziko dopravních nehod.

Po obdržení zprávy mateřská společnost Intelight, Q-Free, zaslala právní varování, v němž uvedla, že zařízení Intelight X-1 je zastaralé a již se nevyrábí.

Kromě Intelightu Lemon také zjistil, že podobné zranitelnosti mají i řídicí zařízení od výrobce Econolite kvůli použití protokolu NTCIP – průmyslového standardu s mnoha bezpečnostními slabinami. Tato zařízení lze zneužít ke změně sekvence signálů nebo zapnutí blikajících světel na křižovatkách, což vede k dopravnímu chaosu.

Tento incident zdůrazňuje důležitost zabezpečení systémů kritické infrastruktury. Výrobci a úřady musí zajistit, aby zařízení pro řízení dopravy byla vybavena silnými ověřovacími protokoly a nebyla vystavena nezabezpečeným internetovým sítím.

Kromě toho jsou pravidelné bezpečnostní kontroly a včasné aktualizace nezbytné pro ochranu systémů před stále sofistikovanějšími kybernetickými hrozbami.