ABD'deki tren ulaşımında yıllardır süregelen ciddi bir güvenlik açığının, ilgili yetkililer tarafından uzun süre göz ardı edildiği ortaya çıktı. 2012 yılında keşfedilen bu zafiyet, trenlerin arka vagonlarındaki fren sistemlerinin uzaktan kontrol edilmesine olanak tanıyordu. Bu kritik durum, ancak yakın zamanda bir siber güvenlik ajansının resmi uyarı yayınlamasıyla kamuoyunun gündemine geldi.
Bir güvenlik araştırmacısı, bu sorunu ilk kez 2012 yılında, yazılım tanımlı radyoların (SDR) popülerleşmeye başladığı dönemde fark ettiğini belirtiyor. Amerikan trenlerinin tamamında, son vagona takılı "End-of-Train (EoT)" adı verilen bir modül bulunuyor. Bu modül, telemetri verilerini kablosuz olarak trenin önündeki "Head-of-Train (HoT)" ünitesine iletiyor.
Sistemin 1980'lerin sonunda ilk kez uygulanmaya başlandığı dönemde, bu frekansların başkaları tarafından kullanılması yasa dışıydı. Bu nedenle, sistem paket oluşturma için yalnızca basit bir BCH sağlama toplamı kullanıyordu. Ancak, günümüzde 500 dolardan daha ucuza temin edilebilen bir yazılım tanımlı radyo (SDR) ile herkes bu paketleri taklit edebiliyor. Bu durum, EoT modülüne ve HoT ortağına yanlış sinyaller gönderilmesine yol açabiliyor.
Eğer EoT modülü sadece telemetri verisi gönderiyor olsaydı, bu acil bir sorun teşkil etmeyebilirdi. Ancak, HoT ünitesi bu sistem üzerinden EoT'ye fren komutu da gönderebiliyor. Dolayısıyla, gerekli donanıma ve bilgiye sahip herhangi bir kişi, tren sürücüsünün haberi olmadan kolayca fren komutu verebilir, bu da ulaşım güvenliğini ciddi şekilde tehlikeye atabilir.
Güvenlik araştırmacısı için hayal kırıklığı yaratan asıl nokta, demiryolu yetkililerinin bu açığı 2012'de ciddiye almayı reddetmesi oldu. Yetkililer, sorunun sadece "teorik" olduğunu ve gerçek hayatta bir olay yaşanmadıkça inanmayacaklarını belirtmişlerdi. Test için gerekli tesislere sahip olunmaması ve yetkililerin güvenlik endişeleri nedeniyle kendi sahalarında testlere izin vermemesi durumu daha da karmaşık hale getirdi. Hatta araştırmacı bulgularını farklı platformlarda yayınlamasına rağmen, yetkililer bu iddiaları yalanlama yoluna gitti.
2024 yılına gelindiğinde bile sorun hala çözülmemişti. Demiryolu yetkililerinden bir bilgi güvenliği direktörü, bunun aslında büyük bir sorun olmadığını ve riskli cihazların kullanım ömrünün sonuna yaklaştığını iddia etti. Ancak, yetkililerin uyarıları sürekli göz ardı etmesi üzerine, bir siber güvenlik ajansı halkı uyarmak için resmi bir bildiri yayınlamak zorunda kaldı. Bu durum, demiryolu yetkililerini harekete geçirdi ve geçen Nisan ayında bir güncelleme duyuruldu. Ne yazık ki, uygulamanın hızı oldukça yavaş ilerliyor ve en erken dağıtım yılı olarak 2027 hedefleniyor.
