Onderzoeker kan verkeerslichten zelf bedienen en verkeerschaos creëren

In de film Die Hard 4, ook bekend als Live Free or Die Hard, is te zien hoe een groep 'terroristische hackers' verkeerslichten kan manipuleren door het systeem hierachter te hacken. Beveiligingsonderzoeker Cesar Cerrudo van IOActive werd hier dusdanig door geïnspireerd dat hij op zoek ging naar een manier om dit in het echte leven te doen. En met succes! Cerrudo is erin geslaagd verkeerslichten in allerlei landen ter wereld te hacken.

De onderzoeker schrijft in een blogpost dat hij verkeerslichten zelf kan manipuleren. Het systeem dat de onderzoeker heeft gekraakt wordt in ieder geval in de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Australië en China gebruikt. De stoplichten in deze landen zijn dus in ieder geval kwetsbaar. Naar schatting worden 50.000 kwetsbare apparaten wereldwijd in dit soort verkeersregelsystemen gebruikt.

Vanaf de grond en vanuit de lucht

De onderzoeker wist de hack op twee manieren uit te voeren. De onderzoeker hackte de verkeerslichten vanaf de grond, maar wist dit ook voor elkaar te krijgen met behulp van een drone. Deze drone zorgt ervoor dat een hacker niet eens in de buurt hoeft te zijn van een verkeerslicht om deze te kunnen hacken.

Het wegdek is in veel landen voorzien van magnetische sensoren die zijn bedoeld om te registreren wanneer voertuigen voor het rode licht staan te wachten. De data die deze sensoren verzamelen wordt draadloos via access points en repeaters gecommuniceerd met systemen die de stoplichten regelen. Cerrudo ontdekte echter kwetsbaarheden in deze apparatuur, die hem in staat stellen de apparaten volledig over te nemen.

Valse gegevens doorsturen

Door de apparaten over te nemen kan Cerrudo naar eigen wens valse gegevens naar de verkeersystemen sturen. Dit kan tot een enorme verkeerschaos leiden. Zo kunnen stoplichten waar niemand voor staat te wachten met op groen worden gezet, waardoor op drukke wegen grote vertraging kan ontstaan.

De onderzoeker meldt dat de fabrikant van de kwetsbare apparatuur al in september 2013 voor het probleem is gewaarschuwd en dus actie had kunnen ondernemen. Deze leverancier stelt echter dat de aangetroffen problemen niet kritiek zijn. Klanten zouden daarnaast behoefte hebben aan apparaten die op deze onveilige manier werken, waardoor het probleem niet als beveiligingsprobleem kan worden geclassificeerd. Cerrudo is het hier uiteraard niet mee eens en wijst op de mogelijk gevolgen.

Geen details bekend

Desondanks maakt Cerrudo op dit moment nog geen details over de hack bekend, om te voorkomen dat cybercriminelen de techniek kunnen misbruiken. Wel heeft de onderzoeker alvast aangekondigd de details wel bekend te maken op de Infiltrate 2014 conferentie, die voor over een paar weken op de planning staan. De leverancier heeft dus tot dit evenement de tijd de problemen op te lossen.