Tal como les anticipamos, hoy, en la segunda jornada de presentaciones de la décima edición de ekoparty, fue el turno del argentino César Cerrudo, conocido por haber encontrado la forma de hackear sistemas de control de tráfico de ciudades de Estados Unidos -también utilizados en Francia, Australia, Reino Unido y otros países. Les contaremos los detalles de su investigación, dónde residen las vulnerabilidades y para qué ataques podrían ser utilizadas.
Por empezar, es necesario conocer la infraestructura que se utiliza. En el mundo hay más de 200 mil magnetómetros enterrados en el asfalto, los cuales, cuando un auto pasa por encima, detectan la anomalía y el movimiento. Su batería dura 10 años, por lo que requieren poco mantenimiento; cuentan con una mini computadora y un chip procesador para la transmisión inalámbrica en 2.4 gigahercios. Estos sensores se conectan a la red interna del sistema de control de tráfico por GSM o ethernet.
Una interfaz que va en las cabinas junto a los semáforos traduce los datos para mandarlos al sistema, y hay repetidores que extienden el rango de la señal.
¿Cómo trabajan?
Los sensores, entonces, están en la calle con los repetidores y el access point (AP). Pensemos un posible uso: en una esquina, detectarán si hay autos esperando y qué tan larga es la fila; recolectarán información para mandarla al AP, que la reenvía a un semáforo o a distintos sistemas para control de tráfico. De esta forma, según la configuración que se use, se buscará hacer más inteligentes a los semáforos, por ejemplo, si se necesita que haya una onda verde para descongestionar el flujo de tráfico. En otras palabras, si hay un auto trabado, el sistema será capaz de tomar una decisión como dar luz verde para que pueda avanzar.
También pueden calcular la velocidad de circulación, ya que saben en tiempo real, en base a distintos cálculos, cuánto le llevó a un determinado auto recorrer determinada distancia.
En cuanto a software, corren con uno para Windows hecho en Flash/ActionScript para configurar access points, repetidores y sensores, y mandarles comandos.
¿Cuáles son las vulnerabilidades encontradas?
Por empezar, el sistema no tiene cifrado, lo que significa que todos los datos viajan en texto plano. Esto permite que cualquier atacante pueda interceptar las comunicaciones, y ver lo que se está transmitiendo.
Al respecto, el fabricante ha dicho: "Las transmisiones de radio no llevan comandos, sino datos, por lo que no hay riesgo". La respuesta a la ausencia de cifrado fue que como a los clientes no les había gustado, decidieron desestimarlo, y que como el sistema estaba diseñado para funcionar sin cifrado, no había riesgo en términos de seguridad. Además, argumentaron, como el protocolo es propietario, está "libre de hackers" porque solo ellos lo conocen. ¡Error!
Pero, tal como expuso César Cerrudo, hay algunas falencias:
- El sistema no tiene autenticación en las comunicaciones: el AP confía ciegamente en que los datos vienen de los sensores, por lo que si alguien manda información falsa, la va a tomar como verdadera. De igual forma, los sensores siempre creen que los comandos vienen del AP.
- El firmaware del sensor no tiene cifrado ni firma digital, por lo cual cualquiera puede actualizarlo, modificarlo e insertarle un virus o un backdoor, por ejemplo.
¿Qué problemas podría causar?
Si estos ataques se hicieran a gran escala, los efectos serían masivos ya que en el mundo hay más de 200 mil sensores que funcionan con estas características, que equivalen a cien millones de dólares en equipos. Básicamente, una consecuencia sería netamente económica en este sentido, por las pérdidas que pudiera ocasionar, y por otro lado, habría consecuencias a nivel físico si hablamos del funcionamiento cotidiano de los sistemas de tráfico.
Pensemos en los embotellamientos en zonas neurálgicas, desvíos, accesos y rampas que se podrían ocasionar -y también, en los accidentes. Además, exceso de tiempo con luz verde o, por el contrario, todo luz roja ocasionando demoras y bloqueando ambulancias, bomberos o policía; o que se muestre un límite de velocidad erróneo, entre otras posibilidades.
César nombró el caso de Los Angeles, donde hubo dos días de atascamiento porque se alteró el tráfico de una intersección neurálgica. Él usaba su computadora en la calle apuntando a los sensores usando el software del fabricante, y comprobó que cualquier AP sirve para acceder a cualquier sensor del mundo.
El siguiente video de IOActive muestra detalles de la utilización de estos sistemas en grandes ciudades:
¿Qué ataques se podrían hacer?
Naturalmente, un ataque de Denegación de Servicio (DoS) sería viable; es posible acceder a los sensores y mandar datos falsos, deshabilitar sensores o repetidores y demás. Por otro lado, las nuevas implementaciones de estos sistemas son fáciles de localizar, porque el fabricante hace publicaciones y anuncios de prensa sobre nuevos clientes, nuevas instalaciones y demás. De igual forma, los dispositivos son fácilmente localizables en todo el mundo mediante Google Street View, que permite obtener sus coordenadas.
También es posible lanzar el ataque usando GPS (cuando detecte unas coordenadas específicas), y desde la altura con drones, utilizando una antena. Para que los ataques sean efectivos, se debe estar a un máximo de 300 metros y utilizar una antena para amplificar el alcance.
La demostración en vivo de César constató que desde un AP con el software del fabricante, podía indicar la (falsa) existencia de sensores que en verdad no existen y eran inventados en el momento. Mandando datos falsos de detección desde una distancia de 20 metros, se veía cómo el software detectaba todo en tiempo real.
César también mencionó la posibilidad de hacer un gusano que se propague a través de la actualización de firmware, de forma que si se le inserta malware, se replicará: si se infecta un sensor, luego se infectan todos. Como agravante, se puede engañar al sistema de forma que nadie pueda saber si ese firmware fue alterado.
Por último, ataques más avanzados y difíciles, prácticamente imposibles hoy en día, serían a través de la localización de personas en tiempo real, comprometiendo sus smartphones. Si recolectando información en redes sociales sobre dónde está o qué está haciendo una persona, el atacante sabe qué controles de tráfico tiene cerca y por lo tanto puede comprometerlos y así, hacer "ataques dirigidos" pero a nivel físico.
¿Qué les parece todo esto? ¿Creían posible hackear sistemas de control de tráfico? No se pierdan los contenidos que seguiremos publicando como parte nuestra cobertura especial de ekoparty desde We Live Security en Español.