In modernen Grossstädten und Megacities erfassen Sensoren, Kameras und smarte Verkehrsleitsysteme die Art, Anzahl und Geschwindigkeit der Fahrzeuge. Der Verkehrsfluss soll dadurch optimiert werden. Zudem dienen Verkehrssensoren auch als wertvolle Grundlage für den weiteren Ausbau städtischer Strassennetze. Falsche Daten allerdings könnten zu teuren Fehlinvestitionen führen. Kaspersky Lab hat nun die Verkehrssensoren in Moskau genauer unter die Lupe genommen und dabei grosse Sicherheitslücken entdeck.
Laut Denis Legezo, Security-Experte bei Kaspersky Lab, können Verkehrssensoren viel zu leicht manipuliert werden, was gravierende Folgen haben könnte. Denn sollten Kriminelle den Zugang zur Verkehrsinfrastruktur einer Smart City erlangen, könnten sie erfasste Daten beeinträchtigen, kritische Daten modifizieren, verfälschen oder löschen, teure Smart-City-Ausrüstung zerstören oder die Arbeit der zuständigen Stadtbehörden sabotieren.
Gemäss dem Kaspersky Lab war am Gehäuse der Sensoren in Moskau die Herstellerfirma leicht ablesbar. Laut Legezo ist es unmöglich, alle Sensormodelle zu kennen, wenn man nicht beruflich und jeden Tag damit zu tun hat. Daher ist es schwierig, den Hersteller der Geräte auf den ersten Blick zu erkennen. Sichtbare Logos oder Etikette sind dagegen deutliche Hinweise, um das Modell zu bestimmen und online Informationen des Herstellers zu Steuerungssoftware sowie die technische Dokumentation für die Sensoren zu finden.
Eine einfache Bluetooth-Verbindung hatte demnach genügt, um die Steuerung zu übernehmen. Per Brute-Force-Angriff konnte das Passwort geknackt werden, da kein zuverlässiger Authentifizierungsprozess implementiert war. Ein Brute-Force-Angriff hebelt durch das Ausprobieren vieler möglicher Passwörter die Sicherheitsmechanismen der Software aus. Ausserdem liefert die technische Dokumentation des Herstellers genug Informationen, um Geräte zu manipulieren - zum Beispiel um alle erfassten Daten zu Art und Geschwindigkeit der Fahrzeuge zu verfälschen.
Die Experten von Kaspersky Lab empfehlen zum Schutz vor Manipulationen der Strassensensoren einige Sicherheitsvorkehrungen, die ohne grossen Aufwand umgesetzt werden könnten. Von den Geräten sollten die Kennzeichnungen der Hersteller entfernt werden, damit die Suche nach technischen Informationen erschwert wird. Der Standardname der Geräte sollte abgeändert werden, um die Media-Access-Control (MAC)-Adressen der Hersteller nach Möglichkeit zu verdecken. Um unberechtigte Zugriffe durch Bluetooth-Verbindungen zu verhindern, empfiehlt Kaspersky Lab eine zweistufige Authentifizierungen und die Verwendung starker Passwörter. Ausserdem sollten die Geräte in Zusammenarbeit mit Sicherheitsexperten auf weitere Schwachstellen zu untersuchen werden.
Der Online-Stellenmarkt für ICT Professionals