現(xiàn)代鐵路系統(tǒng)建立在一系列電子設(shè)備之上。比如，火車本身使用機車信號、牽引控制系統(tǒng)、自動火車控制（ATC）系統(tǒng)來控制火車本身、方向、保護系統(tǒng)、乘客信息和娛樂系統(tǒng)。

 

不論火車站是大是小，都依靠數(shù)字系統(tǒng)控制基于計算機的聯(lián)鎖（CBI）、集中流量控制、道口防護、調(diào)車場自動化。數(shù)字系統(tǒng)也被用于牽引變電所、客票和乘客信息系統(tǒng)中。

 

數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）研究小組“奇愛（StrangeLove）”致力于分析 ICS 和 SCADA 系統(tǒng)，他們研究了鐵路系統(tǒng)的各個組件，讓政府意識到現(xiàn)存的安全漏洞，并引導(dǎo)供應(yīng)商和運營商思考鐵路網(wǎng)絡(luò)安全問題。

 

StrangeLove 團隊的研究成果部分基于來自世界各地的鐵路企業(yè)，這些企業(yè)希望弄清楚自己的數(shù)字資產(chǎn)是否會受到網(wǎng)絡(luò)威脅。這部分研究簽過保密協(xié)議（NDA），因此安全專家們沒辦法透露這方面的信息。

 

戈德奇克表示：“我們和鐵路運營商合作了三年，最初受到了很多懷疑，但現(xiàn)在他們已經(jīng)理解了威脅。”

 

對研究的公開部分而言，專家和歐洲網(wǎng)絡(luò)與信息安全中心（ENISA）等運營商、機構(gòu)協(xié)同工作，嘗試提升鐵路系統(tǒng)的安全性。

 

奇愛小組的研究人員在數(shù)個聯(lián)鎖和火車控制設(shè)備和超過10臺網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)了安全問題。基于他們的分析，專家認為黑進鐵路系統(tǒng)的難度并不大，不過需要對鐵路自動化及其測試平臺有一定的了解。

 

關(guān)于動機，黑客活動分子和利益驅(qū)動的網(wǎng)絡(luò)犯罪者不太可能以鐵路為目標，國家支持的黑客小組則有可能。

 

研究人員強調(diào)，鐵路系統(tǒng)使用的軟件通常是不公開的。他們的研究基于對真實世界的模擬，而結(jié)論是這些系統(tǒng)并不安全。

 

 

在最近召開的混沌通訊大會上，奇愛小組的研究人員詳細解釋了歐洲國家廣泛使用的 SIBAS 火車防護系統(tǒng)。SIBAS 使用西門子公司的 SIMATIC 組件，比如提供基于 PC 的自動化解決方案的 WinAC RTX 控制器。

 

安全專家指出，WinAC RTX 存在數(shù)個安全漏洞，包括能夠在未經(jīng)身份認證的情況下控制設(shè)備，而且使用了 xmlHTTP ，這使得攻擊者可以編寫出控制該設(shè)備的工具。

 

研究者還研究了另一個組件：基于計算機的聯(lián)鎖（CBI）。這是一種能夠防止防止軌道切換沖突的信號系統(tǒng)。

 

專家們相信，CBI 組件中存在三種威脅：安全性、經(jīng)濟性、可靠性。如果攻擊者能夠獲取該系統(tǒng)的權(quán)限，就可以在火車通過時切換軌道，造成物理破壞。使 CBI 組件崩潰、攔截控制信號或者提供錯誤信息都會影響運營商的利潤。而且，使通訊網(wǎng)絡(luò)崩潰可以影響系統(tǒng)的可靠性。

 

威脅源可以通過物理訪問系統(tǒng)，或者使用社會工程讓擁有權(quán)限的人員執(zhí)行惡意代碼（比如插入 U 盤），實現(xiàn)針對 CBI 的攻擊。

 

通過研究公開信息，專家們發(fā)現(xiàn)鐵路系統(tǒng)物理安全的情況可謂“非常糟”。此外，密碼有時被直接寫在了任何人都能看到的便簽上。比如，一部關(guān)于英國鐵路系統(tǒng)的紀錄片中顯示，顯示器上粘了一張寫有用戶名和密碼的便簽。

 

黑客也可以針對連接到 CBI 和外部網(wǎng)絡(luò)的多種組件展開攻擊。

 

在印度和德國等國家，有些企業(yè)專注于鐵路通信領(lǐng)域。在德國，DB Netze 公司提供定制的 GSM-R SIM 卡，它們被用于連接火車和控制中心。

 

這些 SIM 卡的加密措施很完備，但威脅源可以使用 GSM 干擾器，并嘗試干擾火車和控制中心間的通訊。研究人員指出，在使用歐洲火車控制系統(tǒng)（European Train Control System，ETCS）特定幾個層級的某些地區(qū)，如果火車調(diào)制解調(diào)器和控制中心間的通訊中斷，火車會自動停下。這意味著，如果攻擊者能夠干擾此類通訊，就可能強制火車停車。

 

研究人員表示，GSM-R 存在的另一個問題是，有些手機可以通過 SMS 控制該設(shè)備。為了防止濫用，存在基于 PIN 的驗證功能，然而默認的密碼是1234，而研究人員相信工程師基本不會去改這個密碼。一些 GSM-R 設(shè)備使用的遠程通訊（Over the Air，OTA）管理功能也存在安全風(fēng)險，特別是在一些設(shè)備開始支持 OTA 固件升級之后。

 

根據(jù) Positive Technologies 公司研究人員在12月上旬得出的成果，可以使用一種移動路由攻擊策略進攻GSM-R 使用的調(diào)制解調(diào)器。研究人員在當(dāng)時的演示中證明，如果攻擊者可以入侵調(diào)制解調(diào)器，比如通過 OTA 推送惡意固件升級，就能夠入侵與之相連的主機。值得一提的是，Positive Technologies 公司研究小組的一部分成員也屬于 SCADA StrangeLove。

 

對鐵路系統(tǒng)而言，如果黑客能夠入侵調(diào)制解調(diào)器，就可以劫持火車自動控制系統(tǒng)，進而控制火車。

 

現(xiàn)代火車還裝有娛樂系統(tǒng)、乘客信息系統(tǒng)、內(nèi)部通話系統(tǒng)、IP 攝像頭、無線熱點，由于這些系統(tǒng)全部連接到同一個通訊信道，它們?nèi)即嬖陲L(fēng)險。

 

研究人員研究了來自 Bintec 、 Digi 、 Moxa 、 NetModule 、 Sierra Wireless 等供應(yīng)商的多種設(shè)備。它們存在的一個問題在于，其固件通常使用硬編碼的 SSL 證書私鑰，外加遠程管理功能。這讓本應(yīng)安全的通訊暴露在了中間人攻擊的威脅之下，攻擊者甚至可以遠程登入設(shè)備。攻擊者也可以使用泄露的密鑰采集設(shè)備指紋信息，并使用 Shodan 、 Censys 等物聯(lián)網(wǎng)搜索引擎尋找互聯(lián)網(wǎng)上類似的其它設(shè)備。

 

由于使用了默認的驗證信息，鐵路系統(tǒng)使用的設(shè)備可能遭到攻擊，研究人員還找到了遠程管理漏洞。

 

此外，有些設(shè)備的 USB 接口打開了自動運行功能。該功能的初衷是方便工程師進行軟件和配置升級，但也帶來了安全風(fēng)險。最終，研究人員明確指出，盡管鐵路系統(tǒng)似乎與互聯(lián)網(wǎng)隔絕，攻擊者仍可以利用多種組件中的漏洞遠程觸及關(guān)鍵系統(tǒng)。