Il giorno in cui le auto possono parlare tra loro – e ai semafori, segnali di stop, guardrail e persino segnaletica orizzontale – si sta rapidamente avvicinando. Spinti dalla promessa di ridurre la congestione del traffico ed evitare incidenti, questi sistemi sono già in uso sulle strade degli Stati Uniti.

Ad esempio, il sistema di segnaletica stradale intelligente, sviluppato con il supporto del Dipartimento dei trasporti degli Stati Uniti, è stato testato su strade pubbliche in Arizona e California e viene installato più ampiamente a New York City e Tampa, Florida. Consente ai veicoli di condividere la loro posizione e velocità in tempo reale con i semafori, che può essere utilizzato per ottimizzare efficacemente i tempi del traffico in coordinamento con la domanda di traffico in tempo reale per ridurre drasticamente il tempo di attesa dei veicoli in un incrocio.

Il nostro lavoro, dal RobustNet Research Group e dal Michigan Traffic Laboratory dell'Università del Michigan, si concentra sull'assicurarsi che questi sistemi di trasporto di nuova generazione siano sicuri e protetti dagli attacchi. Finora abbiamo scoperto che in effetti sono relativamente facili da ingannare. Solo un'auto che trasmette dati falsi può causare enormi ingorghi, e diverse auto d'attacco potrebbero collaborare per chiudere intere aree. Ciò che è particolarmente preoccupante è che la nostra ricerca ha scoperto che la debolezza non è nella tecnologia di comunicazione sottostante, ma negli algoritmi effettivamente utilizzati per gestire il flusso di traffico.

Un algoritmo fuorviante

Generalmente, gli algoritmi hanno lo scopo di prendere una varietà di input, come il numero di auto che si trovano in varie posizioni intorno a un incrocio, e calcolare un output che soddisfa un obiettivo particolare, come ridurre al minimo il loro ritardo collettivo ai semafori. Come la maggior parte degli algoritmi, l'algoritmo di controllo del traffico in Intelligent Traffic Signal System - soprannominato "I-SIG" - presuppone che gli input che riceve siano onesti. Non è un'ipotesi sicura.

L'hardware e il software delle auto moderne possono essere modificati, fisicamente attraverso le porte diagnostiche dell'auto o tramite connessioni wireless, istruire un'auto a trasmettere informazioni false. Qualcuno che volesse compromettere il sistema I-SIG potrebbe hackerare la propria auto usando questi metodi, guidare fino a un incrocio di destinazione e parcheggiare nelle vicinanze.

Una volta parcheggiato vicino all'incrocio, abbiamo scoperto che l'attaccante potrebbe sfruttare due punti deboli nell'algoritmo che controlla il semaforo per prolungare il tempo in cui una particolare corsia di traffico ottiene il semaforo verde - e, allo stesso modo, l'ora in cui le altre corsie ottengono il semaforo rosso.

La prima vulnerabilità che abbiamo trovato, che chiamiamo "vantaggio ultimo veicolo, " è un modo per estendere la lunghezza di un segnale di luce verde. L'algoritmo tiene d'occhio le auto in avvicinamento, stima quanto è lunga la fila di auto e determina quanto tempo impiegherà tutti i veicoli in una linea di traffico a superare l'incrocio. Questa logica aiuta il sistema a servire il maggior numero possibile di veicoli in ogni giro di cambi di luce, ma se ne può abusare. Un aggressore può istruire la sua auto a riferire falsamente di essersi unita alla fila di auto molto tardi. L'algoritmo manterrà quindi il verde chiaro attaccato abbastanza a lungo da far passare questa macchina inesistente, portando a una luce verde – e di conseguenza, luci rosse per le altre corsie:è molto più lungo del necessario per le auto effettive sulla strada.

Abbiamo chiamato la seconda debolezza che abbiamo trovato la "maledizione del periodo di transizione, " o "l'attacco del veicolo fantasma". L'algoritmo I-SIG è costruito per tenere conto del fatto che non tutti i veicoli possono ancora comunicare. Utilizza i modelli di guida e le informazioni dei più recenti, auto connesse per dedurre la posizione e la velocità in tempo reale di veicoli più vecchi, veicoli non comunicanti. Perciò, se un'auto connessa segnala di essere ferma a una lunga distanza da un incrocio, l'algoritmo presumerà che ci sia una lunga fila di veicoli più vecchi in coda davanti a esso. Quindi il sistema assegnerebbe un lungo semaforo verde a quella corsia a causa della lunga coda che pensa ci sia, ma in realtà non lo è.

Questi attacchi si verificano facendo mentire un dispositivo sulla propria posizione e velocità. È molto diverso dai noti metodi di attacco informatico, come l'inserimento di messaggi in comunicazioni non crittografate o l'accesso di un utente non autorizzato con un account privilegiato. Perciò, le protezioni note contro questi attacchi non possono fare nulla contro un dispositivo bugiardo.

Risultati di un algoritmo disinformato

Usando uno di questi attacchi, o entrambi in concerto tra loro, può consentire a un utente malintenzionato di dare lunghi periodi di semaforo verde alle corsie con traffico scarso o nullo e semaforo rosso più lungo alle corsie più trafficate. Ciò causa backup che crescono e crescono, alla fine costruendo in enormi ingorghi.

Questo tipo di attacco ai semafori potrebbe essere solo per divertimento oa vantaggio dell'attaccante. Immaginare, Per esempio, una persona che vuole avere un pendolarismo più veloce regolando il proprio tempo al semaforo, a scapito dei ritardi degli altri conducenti. criminali, pure, potrebbero cercare di attaccare i semafori per facilitare le loro fughe dalle scene del crimine o per inseguire le auto della polizia.

Ci sono anche pericoli politici o finanziari:un gruppo coordinato potrebbe chiudere diversi incroci chiave in una città e chiedere il pagamento di un riscatto. È molto più dirompente, e più facile farla franca, rispetto ad altri modi per bloccare gli incroci, come parcheggiare un'auto nel traffico.

Poiché questo tipo di attacco sfrutta l'algoritmo di controllo intelligente del traffico stesso, risolverlo richiede sforzi congiunti da entrambi i settori dei trasporti e della sicurezza informatica. Ciò include prendere in considerazione una delle lezioni più ampie del nostro lavoro:i sensori alla base dei sistemi interattivi, come i veicoli nel sistema I-SIG, non sono intrinsecamente affidabili. Prima di fare calcoli, gli algoritmi dovrebbero tentare di convalidare i dati che stanno utilizzando. Per esempio, un sistema di controllo del traffico potrebbe utilizzare altri sensori, come i sensori su strada già in uso in tutta la nazione, per ricontrollare quante auto ci sono davvero.

Questo è solo l'inizio della nostra ricerca su nuovi tipi di problemi di sicurezza nei sistemi di trasporto intelligenti del futuro, che speriamo scoprano i punti deboli e identifichino modi per proteggere le strade e i conducenti su di esse.

Questo articolo è stato originariamente pubblicato su The Conversation. Leggi l'articolo originale.