Bir güvenlik araştırmacısı, kötü niyetli bilgisayar korsanlarının ışıkları değiştirip trafik sıkışıklığı yaratmasına olanak verebilecek bir trafik ışığı kontrolöründe bir kusur bulduğunu söyledi.
Siber güvenlik firması Red Threat’te araştırmacı olan Andrew Lemon, iki rapor yayınladı Blog gönderiler Perşembe günü, trafik kontrolörlerinin güvenliğini araştıran daha geniş kapsamlı bir araştırma projesinin bulgularını ayrıntılarıyla anlattı.
Lemon’un incelediği cihazlardan biri de Intelight X-1’di. Bir hata bulduğunu söyledi herkesin trafik ışıklarının tam kontrolünü ele geçirmesine izin veren bir hata. Lemon’a göre, hata çok basit ve temel: Cihazın internete açık web arayüzünde kimlik doğrulaması yok.
Lemon, TechCrunch’a “Sadece inanamadım,” dedi. “Bu kadar bariz bir şeyin gözden kaçmış olmasına çok şaşırdım.”
Lemon, filmlerde gösterilen senaryoya benzer bir senaryoyu tetiklemenin mümkün olup olmadığını görmek için çabaladığını söyledi. İtalyan işibilgisayar korsanlarının bir kavşaktaki tüm ışıkları yeşile çevirdiği bir durum. Ancak Lemon, Arıza Yönetim Birimi adı verilen başka bir cihazın bu senaryonun gerçekleşmesini engellediğini söyledi.
“Işıklarda ve zamanlamada hala değişiklikler yapabilirsiniz. Yani zamanlamayı bir yöne üç dakika, diğer yöne üç saniye olarak ayarlamak isterseniz. Temel olarak bu fiziksel dünyada bir hizmet reddidir, bu yüzden trafiği tıkayabilirsiniz,” dedi Lemon.
İnternetten kaç tane savunmasız Intelight cihazının erişilebilir olduğu belirsiz. Lemon, kendisi ve ekibinin yaklaşık 30 savunmasız cihaz bulduğunu söyledi.
Lemon, Intelight’ın sahibi olan şirket Q-Free’ye hatayı bildirmek için ulaştığını söyledi. Lemon’a göre, Q-Free hatayı düzeltmek için ona yanıt vermek ve onunla etkileşim kurmak yerine ona yasal bir mektup gönderdi ve Lemon da bunun bir kopyasını blog yazısında yayınladı.
“Sadece şu anda satışa sunulan Q-Free ürünleriyle ilgili güvenlik açığı raporlarını kabul ediyoruz. Güncel olmayan ürünlerin analizlerini değerlendirmek için gerekli kaynaklara sahip değiliz,” Q-Free’nin genel danışmanı Steven D. Tibbets tarafından imzalanmış gibi görünen mektubun kopyasında yer alıyor.
Mektubun kopyasında Lemon’un analiz ettiği cihazın satılık olmadığı ve kendisinin ve Red Threat’in araştırma şeklinin anti-hack yasası olan Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası’nı ihlal etmiş olabileceği yazıyordu. Şirket, Lemon’un araştırmasının yasayı nasıl ihlal etmiş olabileceğini belirtmedi. Mektupta daha sonra Lemon ve Red Threat’ten güvenlik açığının ayrıntılarını yayınlamayacaklarına dair söz vermeleri istendi çünkü bu ulusal güvenliğe zarar verebilirdi.
Mektupta, “Ayrıca Red Threat’i, Q-Free cihazlarının kullanıldığı kritik altyapının güvenliği üzerindeki yayının etkisini göz önünde bulundurmaya çağırıyoruz. Siber güvenliği iyileştirme yönündeki belirtilen amaçlarınıza aykırı olarak, güvenlik açıklarının yayınlanması altyapıya yönelik saldırıları teşvik edebilir ve Red Threat için ilişkili bir sorumluluk yaratabilir” ifadeleri yer aldı.
Lemon, mektubun kendisini şaşırttığını ve “Sanki beni yasal tehditlerle ve her şeyle susturmaya çalışıyorlarmış gibi hissettim” dedi.
Q-Free, yorum talebine birden fazla kez yanıt vermedi.
Lemon, araştırması sırasında Econolite firmasına ait bazı trafik kontrol cihazlarının internete açık olduğunu ve potansiyel olarak güvenlik açığı bulunan bir protokol çalıştırdığını da söyledi.
Protokolün adı NTCIP ve bu, trafik ışığı kontrolörleri için bir endüstri standardıdır. Lemon, internette ifşa edilen cihazlar için, sisteme giriş yapmadan sistemdeki değerleri değiştirmenin mümkün olduğunu söyledi. Bu değerlerin, ışıkların ne kadar süre yanıp söneceğini kontrol edebileceğini veya bir kavşaktaki tüm ışıkların aynı anda yanıp sönmesini sağlayabileceğini söyledi.
Lemon, NTCIP sorunlarının daha önceden bilinmesi nedeniyle Econolite ile iletişime geçmediğini söyledi.
Econolite’ta mühendislik başkan yardımcısı olan Sunny Chakravarty, yorum için kendisine ulaşıldığında bunu doğruladı. Chakravarty, TechCrunch’a Lemon tarafından test edilen Econolite cihazlarının “uzun yıllardır kullanım ömrünün sonuna geldiğini ve tüm kullanıcıların bu eski kontrol cihazlarını uygun yeni ürün modelleriyle değiştirmeleri gerektiğini” söyledi.
Chakravarty, “Econolite, müşterilerin tüm güvenlik açısından kritik ekipmanlar için ağ güvenliği ve erişim kontrolü için en iyi uygulamaları takip etmelerini ve bu ekipmanlara erişimi açık kamusal İnternet’te kısıtlamalarını şiddetle tavsiye ediyor,” dedi. “Yazarın denetleyici üzerinde gerçekleştirdiği eylemler, cihaz açık İnternet’e maruz kalmasaydı mümkün olmazdı.”