image

Nederlandse onderzoekers manipuleren met internet verbonden verkeerslichten

donderdag 6 augustus 2020, 16:45 door Redactie, 7 reacties

Verschillende met internet verbonden verkeerslichten die in Nederlandse steden worden gebruikt zijn op afstand te manipuleren, zo hebben onderzoekers Wesley Neelen en Rik van Duijn van het Nederlandse securitybedrijf Zolder aangetoond. Ze presenteerden hun onderzoek tijdens de online editie van de DEF CON-conferentie en in een blogposting.

De met internet verbonden verkeerslichten moeten de doorstroom van fietsers en andere verkeersdeelnemers bevorderen. Die installeren een app op hun smartphone waarna het verkeerslicht hen ziet aankomen en eerder op groen zal gaan. Naast een app voor fietsers is er ook een app voor voetgangers en vrachtwagens, merken de onderzoekers op. Neelen en Van Duijn besloten zich op de twee apps voor fietsers te richten.

Het onderzoek begint met het analyseren van de apps. De eerst applicatie blijkt gebruik te maken van het MQTT (Message Queueing Telemetry Transport)-protocol. Een netwerkprotocol voor het uitwisselen van berichten tussen apparaten. Via het MQTT-protocol wisselt de smartphone-app Cooperative Awareness Message (CAM)-objecten uit. Een CAM-object bevat allerlei informatie over een voertuig, zoals gps-locatie, soort voertuig, snelheid en positie op de weg.

De onderzoekers weten via de Frida-toolkit de CAM-objecten binnen de app aan te passen nog voordat die naar de server worden verstuurd. Zodoende kunnen de onderzoekers zich voordoen als een fietser en een "stroom van fietsers" genereren die langs het verkeerslicht komen. Dit zorgt ervoor dat het verkeerslicht zoveel als mogelijk op groen blijft staan voor fietsers. "Het gedrag dat we veroorzaken is te vergelijken met een persoon die continu de fysieke knop van een verkeerslicht indrukt", aldus de onderzoekers.

De tweede smartphone-app van een ander project met internet verbonden verkeerslichten, dat in tien Nederlandse steden actief is, blijkt eenvoudiger te manipuleren. Alleen het versturen van een enkel http-request is voldoende. Er wordt geen authenticatie toegepast en er wordt ook niet via bijvoorbeeld een unieke identifier onderscheid gemaakt tussen fietsers. "Vanaf elke willekeurige remote locatie kunnen we aankomende fietsers simuleren, waardoor het systeem de wachttijd voor het groene licht vermindert", stellen Neelen en Van Duijn.

Wanneer er geen verkeer in de buurt is kunnen de onderzoekers verkeerslichten meteen op groen laten springen. Zijn er wel andere verkeersdeelnemers in de buurt, dan zorgt het script van de onderzoekers ervoor dat fietsers korter voor een rood licht hoeven te wachten. Neelen en van Duijn merken op dat het met de huidige implementatie niet mogelijk is om de verkeerslichten voor voertuigen te manipuleren. Volgens de onderzoekers is het belangrijk dat bij het gebruik van met internet verbonden verkeerslichten zaken als authenticatie en autorisatie goed zijn geïmplementeerd.

Reacties (7)
06-08-2020, 17:00 door Anoniem
Het onderzoek begint met het analyseren van de apps.
Ja, ik heb die app ook bekeken, maar niet elke gemeente voorziet in het op afstand op groen zetten v/e verkeerslicht.
Dus de meeste 'fietsers' zullen er weinig plezier van hebben.
07-08-2020, 01:49 door Anoniem
"Het gedrag dat we veroorzaken is te vergelijken met een persoon die continu de fysieke knop van een verkeerslicht indrukt",
Is dus niet echt een gevaarlijke hack. Je kunt dit vergelijken met een jochie die een voetgangersdrukknop met een lucifer vastzet. De verkeersregelaar doet gewoon zijn ding met als bijzonderheid dat er op een bepaalde richting veel fietsers aanwezig zijn. Het is wel vervelend voor de andere weggebruikers omdat die moeten wachten voor fietsers die er niet zijn.
07-08-2020, 02:23 door Anoniem
Wat zijn we toch 'smart' met z'n allen.
07-08-2020, 12:16 door Anoniem
Nederlandse onderzoekers manipuleren verkeerslichten met virtuele fietsers
door Joost Schellevis
https://nos.nl/artikel/2343025-nederlandse-onderzoekers-manipuleren-verkeerslichten-met-virtuele-fietsers.html

Virtuele fietser zet verkeerslicht op groen
door Rik Wassens
https://www.nrc.nl/nieuws/2020/08/06/virtuele-fietser-zet-verkeerslicht-op-groen-a4008120


International press coverage

Dutch Hackers Found a Simple Way to Mess With Traffic Lights
by Andy Greenberg, 08.05.2020
https://www.wired.com/story/hacking-traffic-lights-netherlands/
07-08-2020, 21:23 door Anoniem
Door Anoniem:
"Het gedrag dat we veroorzaken is te vergelijken met een persoon die continu de fysieke knop van een verkeerslicht indrukt",
Is dus niet echt een gevaarlijke hack. Je kunt dit vergelijken met een jochie die een voetgangersdrukknop met een lucifer vastzet. De verkeersregelaar doet gewoon zijn ding met als bijzonderheid dat er op een bepaalde richting veel fietsers aanwezig zijn. Het is wel vervelend voor de andere weggebruikers omdat die moeten wachten voor fietsers die er niet zijn.
Het publiceren van deze "hack" heeft dan ook niks te maken met het voor zijn van een eventueel risico, het gaat enkel
en alleen om het in de publiciteit komen van het bedrijf wat het onderzoek heeft verricht.
Zoals vrijwel altijd met dit soort persberichten. Ze zouden eigenlijk voorzien moeten worden van een [ADVERTENTIE]
markering. Zo heb je ook die universiteiten die dit soort werk doen, die het doen voor het onderzoeksbudget wat ze krijgen
en waar ze weer mensen mee aan de gang kunnen houden.
Het zou duidelijker moeten zijn wat er achter dit soort meldingen zit, en de kosten die ze voor de samenleving veroorzaken.
Immers het is voor die bedrijven/universiteiten een inkomstenbron, maar voor de makers van de systemen die ze
"onderzoeken" en voor (n dit geval) de overheden die de systemen inzetten zijn er enorme kosten aan verbonden.
08-08-2020, 00:00 door Anoniem
Door Anoniem:
Door Anoniem:
"Het gedrag dat we veroorzaken is te vergelijken met een persoon die continu de fysieke knop van een verkeerslicht indrukt",
Is dus niet echt een gevaarlijke hack. Je kunt dit vergelijken met een jochie die een voetgangersdrukknop met een lucifer vastzet. De verkeersregelaar doet gewoon zijn ding met als bijzonderheid dat er op een bepaalde richting veel fietsers aanwezig zijn. Het is wel vervelend voor de andere weggebruikers omdat die moeten wachten voor fietsers die er niet zijn.
Het publiceren van deze "hack" heeft dan ook niks te maken met het voor zijn van een eventueel risico, het gaat enkel
en alleen om het in de publiciteit komen van het bedrijf wat het onderzoek heeft verricht.
Zoals vrijwel altijd met dit soort persberichten. Ze zouden eigenlijk voorzien moeten worden van een [ADVERTENTIE]
markering. Zo heb je ook die universiteiten die dit soort werk doen, die het doen voor het onderzoeksbudget wat ze krijgen
en waar ze weer mensen mee aan de gang kunnen houden.

Het heeft inderdaad weinig met security (risico) te maken.
Ik heb als basisscholiertje ook wel eens staan stampen op de slang van zo'n verkeers-telkastje ...

Voor het bedrijf is het bijna zeker een win-win-win : advertentie/zichtbaarheid (klanten en sollicitanten), leuke oefening voor een junior of stagiair, en bezigheid voor een bankzitter in slappe tijden.

Iets als dit (en de eindeloze stroom sidechannels van Ben Gurion) lijkt me overigens meer een afstudeeropdrachten dan onderzoeks-trekkers .
Nu is dat ook een taak van universiteiten : opleiden en leren onderzoeken, en dan nog een 'maatschappelijk relevant' ook, en hip voor de student.

Maar de overtrokken hype - soms van de onderzoekers en vaak van de 'security media' is wel storend. Tussen al die non-issues zit ook wel eens een echt probleem, en dan is iedereen klaar met 'al die security zeurpieten bij wie de wereld elke dag vergaat' .


Het zou duidelijker moeten zijn wat er achter dit soort meldingen zit, en de kosten die ze voor de samenleving veroorzaken.
Immers het is voor die bedrijven/universiteiten een inkomstenbron, maar voor de makers van de systemen die ze
"onderzoeken" en voor (n dit geval) de overheden die de systemen inzetten zijn er enorme kosten aan verbonden.

Het is natuurlijk niet verkeerd dat dingen onderzocht worden - als je niet kijkt , vind je zeker geen gaten - ook geen gaten in zaken die wel belangrijk zijn.
En ik kan het noch universiteiten noch bedrijven kwalijk nemen dat ze hun student/stagiair/junior graag een 'leuk uitdagende' opdracht geven om uit te zoeken. Feitelijk zijn ze daarvoor.

Het enige is dat er aan de overheid/bedrijfskant dan niet de reflex moet zijn dat 'alles moet tot elke prijs technisch perfect dicht zitten'.
Dan krijg je enorm over-engineerde wangedrochten , als van een simpele scope 'dichtheidstelling fietsers nabij stoplicht' gaat naar allerlei uniek/non-replayable/proximity/authenticated mobile agents.
Sommige risico's kun je beter accepteren , of buiten het technisch systeem mitigeren.
10-08-2020, 14:27 door Anoniem
Het geeft maar weer eens aan dat het goed testen van een app belangrijk is. Ik vermoed zelfs dat dit soort apps buiten de CISO om, door verschillende beleidsafdelingingen worden bedacht, aangeschaft en ingezet. Erg kwalijk allemaal.
Het risico is misschien niet zo hoog en leidt alleen tot ongemak, maar daar gaat het het helemaal niet om, het gaat om het feit dat processen niet gevolgd worden en iedereen maar wat doet. Het is nu een "onschuldig appje" de volgende keer gebeuren er met iets anders ongelukken. Wat denk je van het tegelijkertijd op groen zetten van verkeerslichten om maar wat te noemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.