Las señales de tráfico fueron originalmente diseñadas como hardware independiente, cada una funcionando en horarios fijos, pero han evolucionado en sistemas de red más complejos.
Los controladores de tráfico ahora almacenan múltiples planes de sincronización, integran datos de sensores variados e incluso se comunican con otras intersecciones con el fin de coordinar mejor el tráfico.
Los estudios han demostrado los beneficios de una Sistema de señales de tráfico en términos de tiempo perdido, Impacto y seguridad pública , pero la coordinación ha Sido difícil de lograr debido a la distribución geográfica De las vías y el costo de las conexiones físicas entre Intersecciones. Las redes inalámbricas han ayudado a mitiga Estos costos, y muchas áreas usan ahora servicios inalámbricos inteligentes Sistemas de gestión del tráfico .
Esto permite Nuevas capacidades que incluyen monitoreo y coordinación en tiempo real Entre intersecciones adyacentes. Sin embargo, estos Las mejoras han venido con un efecto secundario involuntario. Los sistemas de hardware que antes habían estado físicamente Son accesibles de forma remota y los programas de Controlada, abriendo una nueva puerta para los atacantes.
Sensores:
Los sensores se utilizan para detectar coches e inspeccionar la infraestructura. Los bucles de inducción (también conocidos como bucles en tierra) se usan frecuentemente para detectar vehículos. Estos dispositivos están enterrados en la calzada y detectan vehículos midiendo un cambio en la inductancia debido al cuerpo metálico del vehículo. La detección de vídeo también se utiliza con frecuencia para detectar vehículos en las intersecciones. En los Estados Unidos, el 79% de la detección de vehículos Los sistemas utilizan la detección de vídeo o bucles de inducción . Microonda Radar y sensores ultrasónicos son menos comunes, Pero también se utiliza . Las cámaras de video también son comúnmente Instalado para permitir la inspección remota de la intersección.
Controladores:
Los controladores de tráfico leen las entradas de los sensores y los estados de luz de control. El controlador se coloca típicamente en un armario del metal por el borde de la carretera junto con los relais para activar los semáforos. Normalmente, los sensores se conectan directamente al controlador, lo que permite combinar información de detección de vehículos con controles de temporización preprogramados para determinar el estado actual de los semáforos.
Una intersección de tráfico típica
La radio se conecta al interruptor y transmite el diagnóstico del controlador, la alimentación de video en vivo y otra información a la agencia de carreteras. La unidad de gestión de fallos se encuentra entre el controlador y las luces y asegura que las luces no se ponen en una configuración insegura. El regulador ajusta los tiempos de luz basados en los datos Bucle de inducción.
Tarjeta de configuración MMU
Si dos fases que no están físicamente conectadas por un puente intentan activar Simultáneamente, la salida del controlador será ignorada y la intersección se pondrá en una configuración conocida segura.
La intersección entra en un estado de fallo y requiere una intervención manual para reiniciar. La MMU también asegura que las duraciones de las luces son lo suficientemente largas. Una duración demasiado corta de la luz amarilla o roja provocará un fallo.
Comunicación:
Los controladores pueden comunicarse entre sí y Un servidor central con el fin de compartir información sobre Condiciones del trafico. Comunicación por cable a través de Óptico o eléctrico es común en zonas urbanas densas Pero resulta difícil de instalar y mantener cuando se Las intersecciones son geográficamente distantes. En este escenario, Los radios se utilizan con frecuencia en un punto-a-punto o punto-tomultipoint Configuración con el fin de proporcionar conectividad. Las radios operan comúnmente en la banda ISM en 900 MHz o 5,8 GHz, o en la banda de 4,9 GHz asignada Para la seguridad pública.
Ejemplo de red de señales de tráfico
Dentro de la red de la agencia de carreteras, las intersecciones están conectadas en una topología de árbol Con la información fluyendo hacia un nodo raíz. Este nodo raíz se comunica con el servidor de administración central, que puede enviar comandos a cualquier intersección de la red.
Ejemplo de declaración lógica
Este ejemplo evita que las luces controladas cambien de estado. El controlador se da Una sentencia booleana y acciones correspondientes. Seleccionar la misma acción en ambos casos obliga al controlador a entrar en un estado elegido independientemente de la condición. En el ejemplo mostrado, el controlador está ajustado en "Stop Time", un estado donde las luces están Congelados en su estado actual.
Trollers examinados en este estudio usaron una versión anterior de El software del controlador y eran vulnerables a este ataque.
Intersección utilizada para pruebas de campo
La infraestructura dirigida controla una intersección en T. El estado a prueba de fallas del Intersección es una luz amarilla parpadeante en la carretera principal y una luz roja parpadeante en el camino lateral. A la izquierda está el gabinete del controlador de tráfico, que contiene el controlador, el conmutador y la MMU. Radios y una cámara de vídeo se encuentran en la parte superior del poste.
Otros Dispositivos:
Nuestro estudio se centra en atacar a la red y el controlador, Pero otros dispositivos en la red pueden ser objetivos de adversarios así como. Un ejemplo son los datos de Cámaras colocadas en las intersecciones. Estas cámaras registran Vídeo en color e incluyen control panorámico, inclinación y zoom. Ellos También se conectan al switch, y sus datos son devueltos Servidor de gestión para que los ingenieros de tráfico puedan Controlar remotamente las intersecciones en tiempo real. Siempre adjunto A la red en lugar de directamente al controlador, Los sensores también pueden ser blanco de ataques. Sensor falsificado Datos podrían utilizarse para manipular estados de luz, como Mostrado en trabajos previos . No investigamos los ataques Contra estos dispositivos debido a la falta de hardware disponible.
Recomendaciones:
Para resumir, descubrimos tres debilidades principales en El despliegue de la infraestructura de tráfico de la agencia de carreteras:
1. La red es accesible para los atacantes debido a la falta De cifrado.
2. Los dispositivos de la red carecen de autenticación segura debido Al uso de nombres de usuario y contraseñas predeterminados.
3. El controlador de tráfico es vulnerable a exploits conocidos.
Accediendo A LA Red:
Para atacar dispositivos en el sistema de tráfico, el adversario Primero debe tener acceso a la red. El proceso para Acceso a la red varía entre los tipos de radio y Configuraciones. Una vez que se accede a la red en una sola Punto, el atacante puede enviar comandos a cualquier intersección En la red. Esto significa que un adversario sólo necesita atacar El eslabón más débil del sistema.
EL Ataque
Esta sección describe los ataques que realizamos contra El sistema de control de señales de tráfico y el impacto de esos ataques. Comenzamos por discutir cómo acceder al tráfico Red de señales y luego entrar en detalles sobre los métodos Y atacar al controlador. Con la cooperación del Road, hemos demostrado con éxito varios ataques En una intersección real en el despliegue.
GHz Radios
Radios de 8 GHz Ninguna de las radios utilizadas en la red Hemos estudiado cualquier intento de ocultar o cifrar su tráfico. En el caso de los radios de 5,8 GHz, cualquier atacante Con una tarjeta inalámbrica capaz de comunicación de 5,8 GHz Es capaz de identificar los SSID de las redes de infraestructura.
Si bien el protocolo propietario utilizado por las radios en nuestro estudio podría ser ingeniería inversa para permitir que cualquier radio de 5,8 GHz para comunicarse con el desplegado Radios, optamos por eludir este problema y utilizar el mismo modelo de radio que se desplegó en la red estudiada para nuestro ataque. Si bien estas radios no suelen venderse al público, trabajos previos han mostrado que la ingeniería social debe ser Eficaz en la obtención de hardware de radio.
Radios de 900 MHz El ataque a la red de 900 MHz requiere Tanto el nombre de la red como el de 16 bits Esclavo. Sniffing para el nombre de la red se hace Más difícil tanto por el protocolo de comunicación propietario Utilizado y FHSS. El salto de frecuencia realizado por el Ráfagas hace que los paquetes de olfato sean más difíciles, pero Hardware apropiado se convierte en un problema solucionable. Trabajos anteriores han demostrado que FHSS no es inherentemente Seguro . El protocolo propietario podría ser inverso Pero también se puede superar mediante la compra de hardware.
Control De Las Luces:
Después de obtener acceso al controlador, un adversario tiene Número de métodos para atacar el dispositivo. Nos centramos solamente en Posibles ataques al acceder al controlador a través de Su funcionalidad de control remoto, ya que son aplicables Incluso contra los controladores que han remendado el VxWorks Problema de puerto de depuración. Los dos principales vectores de ataque son Declaraciones de lógica malintencionada y modificaciones de los tiempos de luz.
Denegación De Servicio:
Un ataque de denegación de servicio en este contexto Se refiere a detener la funcionalidad de la luz normal. los Forma más obvia de causar una pérdida de servicio es establecer Se ilumina en rojo. Esto causaría congestión del tráfico y considerables Confusión para los conductores. Alternativamente, el atacante Podría provocar que la MMU asumiera el control al intentar configuración. Esto haría que las luces Seguro pero subóptimo. Puesto que este estado puede ser activado Remotamente, pero no se puede restablecer sin acceso físico a El controlador, un adversario puede desactivar los semáforos más rápidamente Que los técnicos pueden ser enviados para repararlos. Estos ataques Son evidentes y se detectan rápidamente por carretera Del personal de las agencias, que quedaría con el recurso Deshabilitar conexiones de red entre intersecciones.
Firewalls:
Si un atacante logra acceder a la red (Inalámbrica o físicamente), hay muchas vulnerabilidades dejado abierto. Para mitigar estos ataques, se recomienda reconfigurar Las radios y cambiar para poner restricciones en Siempre que sea posible. Sólo las comunicaciones necesarias Debe ser permitido a través de. Puertos no utilizados Debe bloquearse completamente, evitando ataques como Acceder a la funcionalidad de depuración en el controlador.
Configuración De Semáforos Con Control Universal
No hay comentarios:
Publicar un comentario