Основы Интернет - технологий.

Еще в 2012 году независимый ИБ-исследователь Нил Смит (Neil Smith) сообщил американскому правительству об уязвимости в стандарте связи, который используется в поездах. Однако проблема до сих пор не решена, а правоту исследователя отказывались признавать много лет. На прошлой неделе Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение об уязвимости CVE-2025-1727 (8,1 балла по шкале CVSS). Проблема связана со слабой аутентификацией в протоколе связи между началом и концом поезда, что позволяет атакующему передать собственные команды и даже экстренно остановить состав. Уязвимая система известна под названиями End-of-Train device или FRED (Flashing Rear-End Device — дословно «Мигающее заднее устройство»). Такое устройство устанавливается в последнем вагоне грузовых поездов. FRED собирает телеметрию и передает данные на устройство в начале поезда с помощью специального протокола, в основе которого лежит устаревшая контрольная сумма BCH. С появлением SDR (Software-defined radio) оказалось, что такие пакеты можно легко подделывать. Работа FRED особенно полезна для длинных грузовых поездов, длина которых может составлять более километра. Но помимо сбора телеметрии, устройства могут принимать команды, и одной из важнейших команд является возможность затормозить состав. Как еще в 2012 году обнаружил Смит, если перехватить трафик с помощью SDR, можно подделать пакеты и приказать FRED экстренно активировать тормоза. Это может привести к аварии или даже спровоцировать сход состава с рельсов. Однако исправления для этой уязвимости попросту не существует. Ассоциация американских железных дорог (Association of American Railroads, AAR), представляющая интересы грузовых перевозчиков, сообщила CISA, что в настоящее время только рассматривает возможность внедрения новой, более безопасной технологии для грузовых поездов. Как отмечает Смит в соцсети X, замена FRED и старого протокола на более новый (802.16t) произойдет не раньше 2027 года. В лучшем случае. По данным CISA, пока операторы вынуждены продолжать использование уязвимого протокола, который, по словам Смита, можно взломать с помощью оборудования стоимостью менее 500 долларов США. Единственные возможные защитные меры — это сегментация сети, изоляция критических компонентов и другие базовые практики кибербезопасности. К сожалению, все это вряд ли поможет: если человек с SDR всерьез решит пустить поезд под откос, вряд ли его что-то остановит. «Насколько все плохо? Вы можете удаленно перехватить управление тормозами поезда с большого расстояния. Можно спровоцировать отказ тормозов и вызвать сход состава с рельсов. А можно просто остановить всю железнодорожную сеть страны», — объясняет Смит в длинном треде в X. Уязвимость, о которой стало известно еще в 2012 году, могла быть обнаружена не только Смитом, но и другими людьми. Однако, как показывает статья в издании Boston Review за 2016 год, не слишком удивительно, что проблема до сих пор не исправлена. В этом материале рассказывается, как Смит еще в 2012 году перехватил телеметрию с проходящего поезда с помощью SDR и четыре года пытался привлечь внимание к проблеме. В итоге он уведомил об угрозе команду ICS-CERT, занимающуюся экстренным реагированием на инциденты в промышленных системах. Специалисты ICS-CERT передали эту информацию AAR в надежде, что те согласятся на дополнительные проверки и проведение тестов. Однако в AAR назвали угрозу «теоретической», и на этом все закончилось, а ситуация не получила никакого развития. Смит рассказывает, что после публикации этой статьи у него наступило выгорание, и он временно отошел от темы. При этом в 2018 году ИБ-исследователь Эрик Ройтер (Eric Reuter) выступил на DEFCON с докладом, независимо подтвердив наличие уязвимости. Хотя к 2024 году ICS-CERT претерпела несколько реорганизаций, Смит снова вышел на связь со специалистами, чтобы попытаться возобновить обсуждение (особенно в свете того, что Ройтер независимо подтвердил наличие проблемы). Но, по его словам, директор по информационной безопасности AAR счел проблему несущественной, заявив, что FRED в любом случае считается устаревшим и подлежит замене, хотя протоколом все еще пользуются. «В итоге в CISA согласились со мной, что единственный способ сдвинуть ситуацию с мертвой точки и заставить AAR решить проблему — это обнародование информации», — говорит Смит. Публикаций идентификатора CVE и информации об уязвимости отчасти сработала: в AAR пообещали перейти на 802.16t. Однако, не раньше чем через пару лет. До тех пор, как подчеркивает Смит, вся железнодорожная сеть США остается уязвимой. Дело в том, что переход на новый протокол потребует физической замены более 75 000 устройств. «Все упирается в скорость замены этих 75 000 устройств. Они планируют начать в 2026 году, но на полную замену уйдет 5–7 лет, — говорит Смит. — По моим подсчетам, на это потребуется 7–10 миллиардов долларов».