211service.com
Forskare hackar sig in i Michigans trafikljus
Har du någonsin haft turen att träffa tre eller fyra gröna lampor i rad på väg hem från jobbet? Det visar sig att det kanske inte är så svårt att få det att hända hela tiden.

Trafikhack: Forskare fick kontroll över dessa trafikljus efter att ha hackat sig in i ett system med nästan 100 nätverksanslutna korsningar.
Med tillstånd från en lokal vägbyrå hackade forskare i Michigan sig in i nästan 100 trådlöst nätverksanslutna trafikljus, och lyfte fram säkerhetsproblem som de säger sannolikt kommer att genomsyra nätverkstrafikens infrastruktur runt om i landet. Mer än 40 stater använder för närvarande sådana system för att hålla trafiken flytande så effektivt som möjligt, vilket hjälper till att minska utsläpp och förseningar.
Teamet, ledd av University of Michigan datavetare J. Alex Halderman , hittade tre stora svagheter i trafikljussystemet: okrypterade trådlösa anslutningar, användningen av standardanvändarnamn och lösenord som kunde hittas online och en felsökningsport som är lätt att attackera.
De sårbarheter vi upptäcker i infrastrukturen är inte ett fel hos någon enhet eller designval, utan visar snarare en systemisk brist på säkerhetsmedvetenhet, rapporterar forskarna i en papper de presenterar denna vecka på en datorsäkerhetskonferens. De avslöjade inte exakt var i Michigan de gjorde forskningen.
Även om vägverket som ansvarar för implementeringen av systemet aldrig har mött allvarliga datasäkerhetshot, kommer möjligheten att bli mer oroande eftersom transportmyndigheter och biltillverkare testar nya sätt för infrastruktur och fordon att kommunicera för att minska trafikstockningar och olyckor (se Internet of Bilar närmar sig ett vägskäl).
De måste oroa sig för detta och tänka på säkerhet – det måste vara en av deras högsta prioriteringar, säger Branden Ghena, en doktorand som arbetade med projektet. Det är svårt att få folk att bry sig om dessa saker på samma sätt som det är svårt att få folk att ändra sina lösenord.
Trådlöst nätverksanslutna trafikljus har fyra nyckelkomponenter. Det finns sensorer som upptäcker bilar, styrenheter som använder sensordata för att styra ljusen vid en given korsning, radioapparater för trådlös kommunikation mellan korsningar och felhanteringsenheter (MMUs), som återställer ljus till säkra reservkonfigurationer om en ogiltig konfiguration inträffar. Till exempel, om varje ljus i en korsning på något sätt är grönt, kan systemet falla tillbaka till att de alla blir blinkande röda ljus.
Forskarna i Michigan fann att alla med en dator som kan kommunicera med samma frekvens som korsningsradion – i det här fallet 5,8 gigahertz – kunde komma åt hela det okrypterade nätverket. Det krävs bara en åtkomstpunkt för att komma in i hela systemet.
Efter att ha fått tillgång till en av styrenheterna i sitt målnätverk kunde forskarna slå alla lampor röda eller ändra tidpunkten för närliggande korsningar - till exempel för att se till att någon träffade alla gröna ljus på en given rutt. De kan också utlösa lampornas MMU:er genom att försöka ogiltiga konfigurationer.
I slutet av sin rapport föreslår Halderman och hans grupp enkla rekommendationer för att förbättra säkerheten i trafikinfrastrukturen. Först och främst bör trafiksystemadministratörer inte använda standardanvändarnamn och lösenord. Dessutom bör de sluta sända okrypterad kommunikation för tillfälliga observatörer och nyfikna tonåringar att se.
Forskarna noterar att deras studie har konsekvenser utöver trafikljus. Fler och fler enheter som röstmaskiner (se Varför du inte kan rösta online ), bilar och medicinsk utrustning är datorstyrda och kommer i slutändan att kopplas till nätverk. Denna fasförändring, som de kallar den, kommer med potential för katastrofala säkerhetsfel.
En annan forskare som har undersökt trafikinfrastruktur, Cesar Cerrudo, teknikchef för datasäkerhetsföretaget IOActive Labs , säger att han inte var förvånad över Michigan-gruppens fynd.
Vi har hittat sårbarheter under lång tid, men hårdvaruleverantörer verkar fortfarande inte 'förstå det', skrev Cerrudo i ett e-postmeddelande. De fortsätter att göra samma misstag som mjukvaruleverantörer gjorde för 10 år sedan.