Haker mówi, że pokonał zabezpieczenia MPK Wrocław hasłem 1111. Ale ta sprawa ma drugie dno
To brzmi jak żart, ale to prawda - systemy MPK Wrocław były zabezpieczone tak słabo, że nawet dziecko mogłoby je złamać. Czy to kolejny dowód na to, że cyberbezpieczeństwo w Polsce leży i kwiczy? Nie, bo sprawa nie jest taka prosta.
Serio, ile razy można wpisać "123456" i liczyć, że to wystarczy? Łatwe hasła to jak zostawienie kluczy pod wycieraczką - zaproszenie dla każdego hakera z odrobiną samozaparcia. A potem jest płacz, że konto zostało wyczyszczone albo, co gorsza, dane osobowe latają po sieci. I nie myślcie, że urzędy są jakieś odporne. Tam też pracują ludzie, a ludzie mają tendencję do wybierania haseł typu "imię dziecka" i "rok urodzenia".
Cyberbezpieczeństwo to nie żarty, a słabe hasła to prosta droga do kłopotów. Wyobraźcie sobie, że hakerzy dostają się do systemu podatkowego albo bazy danych PESEL. Albo do sieci MPK we Wrocławiu.
Hasło w MPK? 1111 i 2222
Bertin Jose z Kostaryki pasjonuje się pociągami, ale jego głównym obszarem działania jest cyberbezpieczeństwo. Skoncentrowany na wykrywaniu słabości w systemach przemysłowych, używa własnego narzędzia do skanowania internetu w poszukiwaniu niezabezpieczonych lub źle skonfigurowanych urządzeń.
Podczas jednego ze swoich "polowań" na takie urządzenia, Bertin Jose natknął się na systemy CZAT 7 i NOX. W marcu 2024 roku badacz znalazł w internecie niezabezpieczony sterownik firmy Elester-PKP, który kontrolował m.in. podgrzewanie zwrotnic i oświetlenie przystanku tramwajowego.
Badacz uzyskał dostęp do szczegółowych ustawień urządzeń, w tym współrzędnych GPS, które wskazywały na pętlę tramwajową Klecina we Wrocławiu. Mimo to, nie mógł przejąć kontroli nad systemem ze względu na ochronę kodem PIN.
Szokujące odkrycie nastąpiło, gdy zorientował się, że dostęp do tych systemów był zabezpieczony jedynie domyślnym kodem PIN - 1111 lub 2222.
Tu pojawi się haczyk, opierając się na moim doświadczeniu w pracy i badaniu tych urządzeń, zazwyczaj domyślny PIN to 1111 lub podobne kombinacje, takie jak 2222, 3333 itd., czasami zapewniające dostęp administratora lub operatora z możliwością odczytu/zapisu w większości przypadków. 'Pierwsza próba' z 1111 zapewnia dostęp z pełnymi możliwościami odczytu/zapisu, 2222 również działa
- przekazał Bertin.
Dzięki temu uzyskał pełny dostęp do systemów CZAT 7 i NOX2, co miało mu rzekomo dać możliwość przejęcia kontroli nad zasilaniem trakcji i oświetleniem na "kolei" - bo, jak sam błędnie zakładał, to pociągi miałyby się poruszać po torach, które zauważył na Mapach Google.
Oczywiście się mylił, gdyż to tramwaje, a nie pociągi, są widoczne na zdjęciach z ulicy. Badacz twierdzi, że próbował skontaktować się z Wrocławskim MPK, ale w momencie publikacji jego artykułu nie otrzymał żadnej odpowiedzi. Jednakże, nasz rodzimy serwis skontaktował się z wrocławskim przewoźnikiem i otrzymał odpowiedź.
Przeczytaj więcej o zabezpieczeniach:
MPK Wrocław: Tak ma być, wszystko jest okej
Serwis Gazeta Wrocławska otrzymał obszerną odpowiedź od biura prasowego MPK Wrocław. W skrócie, przewoźnik utrzymuje, że "tak ma być" - czyli że dostęp do tych systemów nie daje możliwości wprowadzania żadnych zmian w infrastrukturze czy sterowaniu ruchem.
Wszystkie urządzenia sterujące oraz odpowiadające za bezpieczeństwo ruchu są niedostępne dla osób i podmiotów zewnętrznych oraz całkowicie bezpieczne. Wszelkie zmiany ustawień urządzeń sterujących sygnalizacją bądź infrastrukturą torową mogą być dokonywane jedynie lokalnie. Nie ma żadnych możliwości zmiany takich ustawień zdalnie, poprzez logowania do jakichkolwiek systemów
- informuje Daniel Misiek z biura prasowego MPK Wrocław.
Daniel Misiek przekazał też, że urządzenie, z którym połączył się mieszkaniec Kostaryki, jest wyłącznie systemem monitorowania sytuacji na pętli Klecina. Pozwala ono na podgląd poszczególnych parametrów, ale bez możliwości zmiany jakichkolwiek ustawień. W skrócie, Bertin Jose mógł tylko podejrzeć, co to urządzenie potrafi zrobić.
Nie było i nie ma sytuacji żadnego zagrożenia. Informacja opisywana przez branżowe media dotyczyła możliwości zdalnego łączenia z systemem monitorowania sytuacji wjazdów/zjazdów na pętli Klecina, co pozwalało jedynie na podgląd danych zbieranych przez ten system. Obecnie nie ma już możliwości takiego podglądu. Podkreślamy, że w żadnym momencie nie było możliwości zewnętrznego sterowania sygnalizacją, zwrotnicami, ani innymi elementami infrastruktury MPK Wrocław
- mówi Daniel Misiek.
Czy mogło dojść do niebezpiecznej sytuacji? Według biura prasowego - nie.
Czyli równie dobrze hasła mogłoby nie być? Możliwe, ale to już nieistnotne. Jak dowiedział się serwis Sekurak, po interwencji NASK dostęp do sterownika oświetleniowego NOX został również usunięty, eliminując tym samym możliwość jakiegokolwiek nieautoryzowanego dostępu do systemu.
