Те, що починалося як низка дивних розіграшів у Кремнієвій долині, в результаті виявило системний провал у тому, як міста захищають свої базові суспільні технології. У квітні минулого року хакери обійшли систему безпеки кнопок на пішохідних переходах приблизно на 20 перехрестях, замінивши стандартні звукові підказки для пішоходів на підроблені аудіозаписи із голосами технологічних мільярдерів.
Хоча зміст повідомлень — від фальшивих монологів Марка Цукерберга про ІІ до зміненого голосу Ілона Маска, який міркує про політику — може здатися високотехнологічним жартом, інцидент оголив набагато більш тривожну реальність: «цифрова інфраструктура, що відповідає за безпеку пішоходів, часто».
Високотехнологічний розіграш з примітивними вразливістю
Ці атаки були результатом складного злому методом перебору; швидше, вони стали наслідком експлуатації повсюдних та передбачуваних слабкостей. Багато кнопок переходів, зокрема ті, що виробляються компанією Polara Enterprises, використовують Bluetooth, щоб міста могли завантажувати аудіокліпи. Ці записи призначені для допомоги слабозорим пішоходам, надаючи їм звукові орієнтири.
Однак з’ясувалося, що захист цієї функції був страшним:
– Паролі за замовчуванням: Офіційні посібники вказували, що багато моделей поставлялися із заводським паролем «1234».
– Доступні інструменти: Процес налаштування можна здійснювати через загальнодоступну програму.
– Людський фактор: Навіть коли були доступні складніші паролі, установники часто використовували прості загальні облікові дані, які рідко оновлювалися.
Зловмисники змогли через бездротовий зв’язок завантажувати власні записи, через що пішоходи чули повідомлення про «підрив демократії» або заклики «не оподатковувати бога». Оскільки кнопки не відслідковують, хто саме завантажує аудіо, а записи з камер відеоспостереження мало чим допомогли, розслідування поліції у Кремнієвій долині зайшло в глухий кут.
Прірва між інноваціями та безпекою
Цей інцидент підкреслює зростаючу напругу в міському розвитку: у міру того, як міста впроваджують все більше «розумних» технологій — таких як датчики на базі ІІ та підключена інфраструктура — швидкість їхнього розгортання часто випереджає строгість заходів кібербезпеки.
Виявлені вразливості є симптомами трьох ширших тенденцій:
- Халатність під час укладання контрактів: Багато муніципалітети, наприклад Редвуд-Сіті, раніше вимагали від постачальників «виявляти розумну обачність», але з прописували у контрактах обов’язкове дотримання конкретних протоколів цифрової безпеки чи правил управління паролями.
- Монополія на ринку: У випадку з Polara відсутність жорсткої конкуренції могла дозволити виробнику ставити надійність та продаж вище проектування надійної системи захисту. Колишні співробітники зазначали, що стислі терміни та невеликі інженерні команди практично не залишали місця для довгострокового планування безпеки.
- Фрагментарна поінформованість: У той час, як зломи в Кремнієвій долині потрапили в заголовки газет, в інших регіонах проблема залишилася невирішеною. Наприклад, у Денвері нещодавно відбулися аналогічні випадки втручання у роботу нещодавно встановлених кнопок, тому що заводські паролі за умовчанням ще не були змінені.
На шляху до захищеної інфраструктури
Після цих інцидентів деякі міста та виробники почали реагувати. Сіетл перейшов на використання унікальних паролів для кожної кнопки та встановив суворі списки авторизованих технічних фахівців. Виробник, що нині перебуває під управлінням Synapse ITS, ввів більш суворі вимоги до паролів та додаткові етапи перевірки під час завантаження аудіо.
Проте експерти стверджують, що фрагментарних заходів недостатньо. Едвард Фок, колишній чиновник Федерального управління шосейних доріг, припускає, що кібербезпека має бути «закладена в основу» кожного контракту між містами та постачальниками технологій із самого початку.
«Безпека цих найважливіших громадських активів має першорядне значення», — каже Джош Літтлсан, технічний директор Synapse ITS.
Висновок
Серія зломів пішохідних переходів служить тривожним сигналом: «розумні міста» настільки безпечні, наскільки безпечна їхня найслабша ланка. У міру того, як громадська інфраструктура стає все більш взаємопов’язаною, перехід від фізичних інструментів до цифрових активів вимагає фундаментального зсуву в тому, як уряди керують відповідальністю постачальників та стандартами кібербезпеки.
