上期唠“科”结束之后,有新来的PWN友问PWN君,现在通勤路上的红绿灯太多了,一个红灯就要等几分钟,有没有可能控制红绿灯,让自己一路绿灯?他说电影《偷天换日》和《速度与激情》里的黑客敲敲键盘,就能把交通系统玩弄于股掌之中,还能让整个城市的交通都陷入瘫痪……
PWN君在这里先要友情提醒:互联网不是法外之地。就算电影里的情节的确能成真,也不会有人傻到为了一路通行顺畅而去黑掉红绿灯系统,除非想进去跟吴某某一起踩缝纫机。毕竟交通信号灯属于公共设施,攻击公共设施是妥妥的违法犯罪行为。所以大PWN友这种天真的想法得先掐灭在萌芽里,可不兴在网上乱说。
不论是在我国还是在其他国家,针对关键基础设施都有较为完善的立法保护。我国2021年9月1日起施行的《关键信息基础设施安全保护条例》规定,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全;未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。如果违反规定,将根据《中华人民共和国网络安全法》和《中华人民共和国刑法》作出相应处罚,轻则拘留5天甚至并处罚款5-50万,重则需要承担民事、刑事责任。
所以电影里的那些黑客要是放到现在,至少踩三年缝纫机起步……
我们再从技术层面说说控制红绿灯这件事。理论上来说,红绿灯也就是交通信号灯确实存在被破坏分子控制的可能。交通信号控制系统基本由交通信号中心控制软件、智能交通信号控制机(检测及控制设备)、交通信号灯、通信网络及通信设备这几部分组成。与其他物联网设备一样,软件和硬件本身可能存在一些漏洞;而网络接入和传输过程中,一些协议或端口的设计可能不够完善或没有充分考虑到安全因素,容易被趁虚而入。毕竟在公共区域有千千万万的设施,很难保证万无一失。
2014年,密歇根大学的研究人员就发现交通控制系统本身存在一些缺陷。使用没有加密的无线信号控制交通灯,信号很容易被截获、伪造;控制系统使用默认用户名和密码,就像很多人登陆平台使用 admin 作账户名,用 123456 做密码一样,也很容易被其他人登陆去搞事情;另外设备的调试端口也有安全问题。研究人员获取了交管部门的允许之后,在一家小镇进行测试,发现只用一台笔记本电脑和一根天线,就能入侵交通信号灯控制系统,直接控制100多个红绿灯。
2020年,研究人员又发现全球最大的信号灯制造商SWARCO公司所生产的一款交通灯控制器存在一个专为调试设计的开放端口,就像很多设备会留下便于维修操作的后门。攻击者能通过这个端口获得对设备的 root 访问权限,直接控制设备。幸运的是,这个端口没有暴露在互联网上,需要接近控制器,物理访问之后才能操纵信号灯。当然,这个漏洞发现之后就很快被修复了,毕竟是牵涉到公众生命财产安全的问题,响应还是很快的。
就目前的情况来看,法律法规对于公共基础设施的保护规定较为严格,想要利用漏洞入侵则需要一定的技术门槛和很高的成本,所以控制全城的交通信号灯这种事情,基本只能也只会出现在电影里。
什么?你问《速度与激情》里的全城汽车集体失控是怎么回事儿?这个问题我们下次再唠。
有更多关于电影或者热门视频的疑惑,欢迎在评论区留言或私聊PWN君,PWN君来为你答疑解惑~
关注GeekPwn,离安全更近一点。我们下期见~
GeekPwn 国际安全极客大赛积极推动各领域的网络安全发展、鼓励前沿技术的安全创新,以可视化舞台形式展现极客技术、促进提升大众安全意识。九年来,GeekPwn见证了数千名参赛选手的成长,负责任地披露了1000多个安全漏洞。2022年,GeekPwn将继续记录极客故事、见证极客力量。