To, co zaczęło się jako seria dziwacznych oszustw w Dolinie Krzemowej, zakończyło się ujawnieniem systemowych niepowodzeń w sposobie, w jaki miasta chronią swoje podstawowe technologie publiczne. W kwietniu ubiegłego roku hakerzy ominęli zabezpieczenia przycisków na przejściach dla pieszych na około 20 skrzyżowaniach, zastępując standardowe komunikaty dźwiękowe dla pieszych fałszywymi nagraniami dźwiękowymi głosów miliarderów z branży technologicznej.
Choć treść wiadomości – od fałszywych monologów Marka Zuckerberga na temat sztucznej inteligencji po zmieniony głos Elona Muska mówiącego o polityce – może wydawać się nowoczesnym żartem, incydent ujawnił znacznie bardziej niepokojącą rzeczywistość: infrastruktura cyfrowa odpowiedzialna za bezpieczeństwo pieszych jest często chroniona jedynie hasłem „1234”.
Zaawansowany technicznie dowcip z prymitywnymi lukami w zabezpieczeniach
Ataki te nie były wynikiem wyrafinowanego hakowania metodą brutalnej siły; wynikały raczej z wykorzystania powszechnych i przewidywalnych słabości. Wiele przycisków przeskoku, zwłaszcza tych stworzonych przez Polara Enterprises, wykorzystuje technologię Bluetooth, aby umożliwić miastom przesyłanie niestandardowych klipów audio. Nagrania te mają na celu pomóc pieszym z wadą wzroku poprzez dostarczenie im wskazówek dźwiękowych.
Okazało się jednak, że bezpieczeństwo tej funkcji było niepokojąco słabe:
– Hasła domyślne: W oficjalnych instrukcjach podano, że wiele modeli ma fabryczne hasło „1234”.
– Dostępne narzędzia: Proces konfiguracji można przeprowadzić za pomocą publicznie dostępnej aplikacji.
– Czynnik ludzki: Nawet gdy dostępne były bardziej złożone hasła, instalatorzy często korzystali z prostych, ogólnych danych uwierzytelniających, które rzadko były aktualizowane.
Atakujący mogli bezprzewodowo przesyłać własne nagrania, przez co przechodnie słyszeli komunikaty o „podważaniu demokracji” lub wezwania, aby „nie obciążać Boga podatkiem”. Ponieważ przyciski nie śledzą, kto pobiera plik audio, a nagrania z kamer CCTV nie są zbyt pomocne, śledztwo policyjne w Dolinie Krzemowej utknęło w martwym punkcie.
Przepaść między innowacją a bezpieczeństwem
Incydent uwydatnia rosnące napięcie w rozwoju miast: w miarę jak miasta wdrażają coraz więcej inteligentnych technologii – takich jak czujniki zasilane sztuczną inteligencją i połączona infrastruktura – szybkość ich wdrażania często przekracza rygorystyczność środków cyberbezpieczeństwa.
Zidentyfikowane luki są symptomatyczne dla trzech szerszych trendów:
- Zaniedbanie umowy: Wiele gmin, np. Redwood City, wymagało wcześniej od dostawców „zachowania należytej staranności”, ale nie określało w swoich umowach określonych protokołów bezpieczeństwa cyfrowego ani zasad zarządzania hasłami.
- Monopol na rynku: W przypadku Polary brak intensywnej konkurencji mógł sprawić, że producent przedłożył niezawodność i sprzedaż nad projektowanie niezawodnego systemu bezpieczeństwa. Byli pracownicy zauważyli, że napięte terminy i małe zespoły inżynierów pozostawiają niewiele miejsca na długoterminowe planowanie bezpieczeństwa.
- Rozdrobniona świadomość: Podczas gdy ataki hakerskie w Dolinie Krzemowej trafiły na pierwsze strony gazet, problem pozostał nierozwiązany w innych regionach. Na przykład w Denver ostatnio doszło do podobnych przypadków manipulacji przy niedawno zainstalowanych przyciskach, ponieważ domyślne hasła fabryczne nie zostały jeszcze zmienione.
W stronę bezpiecznej infrastruktury
Po tych incydentach niektóre miasta i producenci zaczęli reagować. Seattle zaczęło używać unikalnych haseł do każdego przycisku i ustanowiło ścisłą listę autoryzowanych techników. Producent, obecnie dostępny w ramach Synapse ITS, wprowadził bardziej rygorystyczne wymagania dotyczące hasła i dodatkowe etapy weryfikacji podczas pobierania dźwięku.
Eksperci twierdzą jednak, że działania cząstkowe nie wystarczą. Edward Fock, były urzędnik Federalnej Administracji Autostrad, sugeruje, że cyberbezpieczeństwo powinno być „wbudowane w istotę” każdej umowy między miastami a dostawcami technologii od samego początku.
„Bezpieczeństwo tych kluczowych zasobów publicznych jest sprawą najwyższej wagi” – mówi Josh Littlesun, dyrektor ds. technologii w Synapse ITS.
Wniosek
Seria hacków na przejściach dla pieszych to sygnał alarmowy: inteligentne miasta są tak bezpieczne, jak ich najsłabsze ogniwo. W miarę jak infrastruktura publiczna staje się coraz bardziej połączona ze sobą, przejście od narzędzi fizycznych do zasobów cyfrowych wymaga fundamentalnej zmiany w sposobie, w jaki rządy zarządzają odpowiedzialnością dostawców i standardami cyberbezpieczeństwa.
