De dag waarop auto's met elkaar kunnen praten - en met verkeerslichten, stopborden, vangrails en zelfs stoepmarkeringen – komt snel dichterbij. Gedreven door de belofte om verkeersopstoppingen te verminderen en ongevallen te vermijden, deze systemen worden al uitgerold op wegen rond de VS.

Bijvoorbeeld, het intelligente verkeerssignaalsysteem, ontwikkeld met steun van het U.S. Department of Transportation, is getest op de openbare weg in Arizona en Californië en wordt op grotere schaal geïnstalleerd in New York City en Tampa, Florida. Hiermee kunnen voertuigen hun realtime locatie en snelheid delen met verkeerslichten, die kan worden gebruikt om de verkeerstiming effectief te optimaliseren in coördinatie met de realtime verkeersvraag om de wachttijd voor voertuigen op een kruispunt drastisch te verminderen.

Ons werk, van de RobustNet Research Group en het Michigan Traffic Laboratory aan de Universiteit van Michigan, richt zich op het ervoor zorgen dat deze transportsystemen van de volgende generatie veilig zijn en beschermd tegen aanvallen. Tot nu toe hebben we ontdekt dat ze in feite relatief eenvoudig te misleiden zijn. Slechts één auto die nepgegevens verzendt, kan enorme files veroorzaken, en verschillende aanvalsauto's zouden kunnen samenwerken om hele gebieden af ​​te sluiten. Wat vooral zorgwekkend is, is dat ons onderzoek heeft uitgewezen dat de zwakte niet in de onderliggende communicatietechnologie zit, maar in de algoritmen die daadwerkelijk worden gebruikt om de verkeersstroom te beheren.

Een algoritme misleiden

In het algemeen, algoritmen zijn bedoeld om verschillende inputs op te nemen - zoals hoeveel auto's zich op verschillende locaties rond een kruispunt bevinden - en een output te berekenen die aan een bepaald doel voldoet - zoals het minimaliseren van hun collectieve vertraging bij verkeerslichten. Zoals de meeste algoritmen, het verkeersregelalgoritme in Intelligent Traffic Signal System - bijgenaamd "I-SIG" - gaat ervan uit dat de input die het krijgt eerlijk is. Dat is geen veilige aanname.

De hardware en software in moderne auto's kunnen worden aangepast, hetzij fysiek via de diagnostische poorten van de auto of via draadloze verbindingen, een auto opdracht geven om valse informatie door te geven. Iemand die het I-SIG-systeem in gevaar wilde brengen, zou met dergelijke methoden haar eigen auto kunnen hacken, rijd naar een doelkruispunt en parkeer in de buurt.

Eenmaal geparkeerd bij de kruising, we hebben ontdekt dat de aanvaller kan profiteren van twee zwakke punten in het algoritme dat het licht bestuurt om de tijd te verlengen dat een bepaalde rijstrook groen licht krijgt - en, evenzo, de tijd dat andere rijstroken rood licht krijgen.

De eerste kwetsbaarheid die we vonden, die we "laatste voertuigvoordeel" noemen, " is een manier om de lengte van een groenlichtsignaal te verlengen. Het algoritme houdt naderende auto's in de gaten, schat hoe lang de rij auto's is en bepaalt hoe lang het denkt nodig te zijn voor alle voertuigen in een rij verkeer om door het kruispunt te komen. Deze logica helpt het systeem zoveel mogelijk voertuigen te bedienen bij elke ronde van lichtwisselingen, maar er kan misbruik van worden gemaakt. Een aanvaller kan haar auto de opdracht geven om ten onrechte zeer laat te melden dat ze zich bij de rij auto's voegen. Het algoritme houdt het aangevallen licht dan lang genoeg groen om deze niet-bestaande auto te laten passeren. leidend tot een groen licht – en dienovereenkomstig, rode lichten voor andere rijstroken - dat is veel langer dan nodig is voor de daadwerkelijke auto's op de weg.

We noemden de tweede zwakte die we vonden de "vloek van de overgangsperiode, " of de "spookvoertuigaanval". Het I-SIG-algoritme is gebouwd om tegemoet te komen aan het feit dat nog niet alle voertuigen kunnen communiceren. Het gebruikt de rijpatronen en informatie van nieuwere, verbonden auto's om de realtime locatie en snelheid van oudere, niet-communicerende voertuigen. Daarom, als een connected car meldt dat hij op grote afstand van een kruispunt is gestopt, het algoritme gaat ervan uit dat er een lange rij oudere voertuigen voor in de rij staat. Dan zou het systeem een ​​lang groen licht toewijzen voor die rijstrook vanwege de lange wachtrij die het denkt dat er is, maar is het echt niet.

Deze aanvallen gebeuren door een apparaat te laten liegen over zijn eigen positie en snelheid. Dat is heel wat anders dan bekende cyberaanvalmethoden, zoals het injecteren van berichten in niet-versleutelde communicatie of het laten inloggen van een onbevoegde gebruiker met een geprivilegieerd account. Daarom, bekende beveiligingen tegen die aanvallen kunnen niets doen aan een liegend apparaat.

Resultaten van een verkeerd geïnformeerd algoritme

Met behulp van een van deze aanvallen, of beide in overleg met elkaar, kan een aanvaller toestaan ​​om lange perioden van groen licht te geven aan rijstroken met weinig of geen verkeer en langere rode lichten aan de drukste rijstroken. Dat zorgt voor back-ups die groeien en groeien, uiteindelijk bouwen in enorme files.

Dit soort aanval op verkeerslichten kan alleen voor de lol zijn of in het voordeel van de aanvaller. Stel je voor, bijvoorbeeld, een persoon die sneller wil pendelen door zijn eigen stoplichttiming aan te passen, ten koste van de vertragingen van andere chauffeurs. criminelen, te, zou kunnen proberen verkeerslichten aan te vallen om hun ontsnappingen van plaats delicten of het achtervolgen van politieauto's te vergemakkelijken.

Er zijn zelfs politieke of financiële gevaren:een gecoördineerde groep zou verschillende belangrijke kruispunten in een stad kunnen afsluiten en losgeld kunnen eisen. Het is veel storender, en makkelijker weg te komen, dan andere manieren om kruispunten te blokkeren, zoals het parkeren van een auto tegenover het verkeer.

Omdat dit type aanval misbruik maakt van het slimme verkeersregelalgoritme zelf, het oplossen ervan vereist gezamenlijke inspanningen van zowel transport als cyberbeveiliging. Dit houdt onder meer in dat we rekening moeten houden met een van de breedste lessen van ons werk:de sensoren die ten grondslag liggen aan interactieve systemen – zoals de voertuigen in het I-SIG-systeem – zijn niet inherent betrouwbaar. Voordat u begint met rekenen, algoritmen moeten proberen de gegevens die ze gebruiken te valideren. Bijvoorbeeld, een verkeersregelsysteem zou andere sensoren kunnen gebruiken - zoals sensoren in de weg die al in het hele land worden gebruikt - om te controleren hoeveel auto's er echt zijn.

Dit is nog maar het begin van ons onderzoek naar nieuwe soorten beveiligingsproblemen in de slimme transportsystemen van de toekomst, waarvan we hopen dat het zowel zwakke punten zal ontdekken als manieren zal vinden om de wegen en de bestuurders erop te beschermen.

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees het originele artikel.