28/8/2023
W piątek w zachodniopomorskim, o 21:23 stanęły pociągi. Spowodowało to opóźnienia ponad 20 połączeń. W sobotę i niedzielę podobne nagłe zatrzymania pociągów nastąpiły w Białymstoku, Gdyni i Wrocławiu. Ale wbrew temu, co piszą niektóre polskie i zagraniczne media (w tym BBC…) to nie atak hackerski. Ktoś po prostu nadał sygnał RADIO STOP. Sygnał stosowany na kolei od lat, możliwy do nadania tanią krótkofalówką lub jeszcze tańszym modułem SDR. Poniżej objaśniamy na czym polegał atak i kto za nim stał.
Czym jest RADIO STOP?
RADIO STOP to sygnał radiowy, który — w dużym uproszczeniu — po odebraniu przez radiotelefon w pociągu może spowodować jego awaryjne zatrzymanie. Jest to jeden z mechanizmów bezpieczeństwa stosowany na polskiej kolei. Sygnał służy m.in. do ostrzeżenia o zepsutej zwrotnicy, a nadawać mogą go nie tylko maszyniści.
Instrukcja dotycząca budowy sygnału RADIO STOP jest jawna i od dawna publicznie dostępna. Na jej podstawie każdy może dowiedzieć się z jak nadać RADIO-STOP: ile ma trwać i na jakiej częstotliwości należy go nadać.
Dodajmy do tego, że sygnał nie jest szyfrowany a jego nadanie nie wymaga żadnego uwierzytelnienia i mamy gotowy przepis na “paraliż polskiej kolei“. Dlaczego? Bo naprawdę każdy gamoń z krótkofalówką może taki sygnał wyemitować a znajdująca się w jego pobliżu infrastruktura kolejowa, która go odbierze, uruchomi mechanizmy bezpieczeństwa. Efekt? Możliwe chwilowe zatrzymania pociągów.
RADIOSTOP od lat używany przez “żartownisiów”
W 2010 roku pisaliśmy o sabotażu maszynisty warszawskiego metra, który przy pomocy RADIO STOP-u zatrzymywał pociągi w Warszawie, a w 2011 roku pisaliśmy o trzech Polakach, którzy zostali oskarżeni o “dywersję informatyczną” bo “po wódeczce” posiali radiostopem z krzaków przy dworcu…
W temacie nadużywania RADIO STOP-u na polskiej kolei od tamtego czasu niewiele się nie zmieniło. Szczerze mówiąc, dziwi nas to, że “w związku z obecną, napiętą sytuacją przy naszej granicy” dopiero teraz ktoś wpadł na pomysł, aby wykorzystać ten mechanizm do heheszkowania. Piszemy “heheszkowania” z premedyctacją, bo w żadnym wypadku emisji tego sygnału nie można uznać za “cyberatak na polską kolej”, jak niestety wskazują niektórzy, wspierając nieumyślnie dezinformację w tym zakresie.
Aby nadać RADIO STOP nie trzeba się nigdzie włamywać. RADIO STOP nie umożliwia też ani wykolejania pociągów, ani niszczenia ich, a jedyne co może być skutkiem jego użycia to zatrzymanie pociągu (a i to nie zawsze). Radiotelefony na kolei można też nadużyć “klasycznie”, czyli nadając różne głupoty. I jak informuje Krzysztof Łuksza, kolejarze poza RADIOSTOPEM mieli w ostatnich dniach słyszeć także rosyjski hymn.
Ataki RADIOSTOPEM są ryzykowne
Bo o ile “każdy głupi” może sygnał nadać i zatrzymać w ten sposób okoliczne pociągi, to źródło nadania sygnału da się namierzyć. O tym jak namierzać skąd nadano dany sygnał pisaliśmy już w marcu (por. Jak zatapiać okręty podwodne i bombardować Rosjan — ABC namierzania sygnałów radiowych)
A skoro trzeba być w pobliżu (przynajmniej raz, aby zostawić graty), a to “pobliże” da się namierzyć, to kwestią czasu (i ściągnięcia nagrań z monitoringów oraz logów z BTS-ów) jest ustalenie, kto może stać za nadaniem sygnału RADIO STOP.
W tym przypadku “kwestia czasu” wyniosła mniej niż 48 godzin. W niedzielę policja zatrzymała w Białymstoku w mieszkaniu przy ul. Radosnej dwójkę podejrzanych (24 i 29 lat). Ale doniesienia medialne o “paraliżu kolei” spowodowały chyba modę na “testy RADIOSTOP-u” i ludzie z krótkofalówkami ruszyli na tory, bo już po zatrzymaniu wspomnianej dwójki nieautoryzowane użycie RADIOSTOP-u zauważono we Wrocławiu.
Odradzamy taką zabawę. Chyba, że chcecie odpowiadać za “dywersję informatyczną” i otrzymać do 8 lat ciszy w transmisji.
Czarny tydzień na polskiej kolei
Zakończmy jeszcze krótkim rozwianiem teorii spiskowych. Choć ten tydzień nie był dla polskich kolei szczęśliwy (media donosiły o kilku wypadkach, w tym zderzeniu pociągów), to wedle informacji, które pozyskaliśmy od osób zajmujących się bezpieczeństwem ruchu kolejowego w Polsce, zeszłotygodniowe incydenty nie są ze sobą powiązane.
Co więcej, do mniejszych lub większych incydentów na kolei dochodzi praktycznie codziennie. Teraz przez pewien czas zapewne i te małoistotne wydarzenia na kolei, które normalnie nigdy nie zostałyby podłapane przez media, będą nagłaśniane. Bo wpisują się w klikalną narrację. Ale nie każde wykolejenie czy wypadek na kolei to wynik ataku hackerskiego. Zwłaszcza w Polsce.
Naucz się hackować sygnały radiowe tanim modułem SDR
Dla tych, którzy są zdrowo i niezdrowo zainteresowani radiem i hackowaniem sygnałów radiowych, czyli tym co można usłyszeć w eterze obok nas oraz jak to zmodyfikować i w konsekwencji przekonfigurować własne urządzenie “Interentu Rzeczy” ;) zapraszamy do udziału w naszych etycznych warsztatach z SDR lub zapoznania się z tym darmowym opisem jak hackować sygnały radiowe tanim modułem SDR.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
a w internetach niektórzy się rozpisywali, że to wydzielona niedostępna sieć hihi
Ekhem, rozróżniasz VHFki wprowadzone w latach 70 od właśnie wprowadzonego GSM-R.
Aby popsuć ci humor, to wystarczy się dostroić na bieżący kanał komunikacyjny i wypowiedzieć pewne magiczne słowa – maszyniści muszą wtedy zatrzymać pociąg…
“Wydzielone” to jest GSM-R, stosowane (przynajmniej na razie) wyłącznie na kolejach dużej prędkości, a przetargi na wykonanie stacji bazowych GSM-R są albo w trakcie, albo masowo unieważniane, ciekawe dlaczego. Poza tym w “okresie przejściowym” mają być aktywne równolegle oba systemy tak czy inaczej i takie też Kolibry aktualnie produkowane są dla PKP.
Ciekawostka: moduł detekcji radiostopu jest zaimplementowany w torze audio niezależnie od wybranego toru rozmównego, więc nadany akustycznie na GSM-R (nawet pomimo tego, że tam służy do tego dedykowany transport out-of-band) zadziała tak samo jak na analogu.
Mnie tylko dziwi że zajęło to aż tyle czasu.
Znam relacje “naocznego idioty” którego SOK zdjął zanim zdążył dopalić papieroska po emisji sygnału.
Bo w weekend połowa Polski (w tym śledcza część policji) ma wolne.
Nawet sekcji zwłok nie można zrobić a co dopiero takie namierzanie nadajnika.
Niestety ale jak powiedział Sienkiewicz “Polska istnieje teoretycznie” i widać to dopiero gdy “coś się dzieje”. Chociaż akurat w tym wypadku zadziałano całkiem sprawnie i… poszukano domu z antenami :)
To kwestia obecności odpowiednich ludzi w odpowiednim miejscu. Jeżeli jakiś funkcjonariusz zobaczył sprawcę i go ujął na miejscu zdarzenia, no to czekanie na namierzenie go przez UKE jest odrobinę jak musztarda po obiedzie ;)
PKP potrafią sparaliżować się samemu.
Ale zawsze wtedy uprzejmie przeproszą!
Kilka lat temu usłyszałem w pociągu komunikat: Przepraszamy za opóźnienie spowodowane przez wsiadanie podróżnych. :)
“możliwy do nadania tanią krótkofalówką lub jeszcze tańszym modułem SDR.”
Nie wiem, może się nie znam ale SDR służy do nasłuchu, większość nie ma toru nadawczego. więc i tak trzeba mieć chińskie radyjko.
Masz rację, nie znasz się, SDR to nie tylko tani tuner telewizyjny z R828D
Są też SDR-y z funkcją nadawania, przykładowo popularny hackrf:
https://en.m.wikipedia.org/wiki/HackRF_One
SDR może być i do nadawania, tylko taki sprzęt nie będzie tańszy niż krótkofalówka przytoczona w cytacie.
SDR = Software-Defined Radio – to typ urządzenia, w którym nie zachodzi przemiana częstotliwości w torze, lecz cała filtracja i separowanie sygnału “użytecznego” od “całej reszty” odbywa się już w domenie cyfrowej. Nawet leciwy już Baofeng jest tak naprawdę SDR-em, chociaż ma też nadajnik.
Tutaj słowo SDR jest skrótem myślowym, bo istnieją “sprzętowe” TRXy typu SDR, które wcale nie muszą być ręczniakami ani “tylko-odbiornikami”.
Pytanie do specjalisy lub amatora sztuki krótkofalarskiej. Czy taki chiński radiotelefon da się śledzić ? Tzn. nie mam żadnych wątpliwości że takiego żartownisia w momencie nadawania sygnału da się namierzyć w czasie krótszym niż dopalenie papierosa ale pytanie czy jeśli nada sygnał i od razu potem zwieje z tego miejsca wyłączając swoją chińską zabawkę to czy da się go potem wyśledzić ? Pytam, bo zastanawiam się jak to jest że złpali ich w domu – czyżby ta dwójka była aż tak głupia że nadała radio-stop ze swojego własnego mieszkania ? Aż nie chce mi sie w to wierzyć.
Jest taka możliwość, także wstecznie możliwe jest otworzenie nadanych transmisji i ustalenie źródła emisji na podstawie wzajemnych korelacji czasowych sygnałów odebranych w różnych miejscach monitorowania widma radiowego. Nawet nie są do tego potrzebne obracane anteny, natomiast wymagana jest precyzyjna synchronizacja czasu we wszystkich odbiornikach, ale zegar GPS daje tu wystarczającą precyzję. Czy nasze UKE posiada takie możliwości? Sądzę że tak: https://radiotech.pl/uke-chce-kupic-sprzet-do-monitoringu-widma-radiowego-i-poszukiwania-zaklocen/
Oczywiście potrzebna jest jeszcze aktywna praca śledczych, którzy powiążą czas i miejsce emisji z innymi danymi, np. logowaniem się telefonów w okolicznych stacjach bazowych. Jednak sytuacja geopolityczna może uzasadniać zastosowanie sił i środków znacznie większych, niż miało to miejsce do tej pory, tak więc raczej nie testowałbym tego, czy nasze służby staną na wysokości zadania. W przypadku zatrzymania pociągu z ładunkiem specjalnym może nastąpić wsparcie także przez służby “sojusznicze”.
Śledzenie/namierzanie krótkotrwałego sygnału FM jest bardzo trudne. Wątpię żeby to taką metodą kogoś złapali. Zapewne np. obserwacja terenu – bo jak ktoś to robi to pewnie chce oglądnąć efekty działania. Albo się sami gdzieś chwalili na jakimś forum, lub komuś. Ewentualnie sprawdzanie kto jest w okolicy zalogowany telefonem do BTS.
Z domu nie mogli nadawać jeżeli pociągi zatrzymywali w Pomorskim. Zasięg takiego małego ręczniaka na FM to tylko kilka km w terenie płaskim (przy zwykłej pogodzie) a gdzie tam Białystok.
Z RTL tez się da po modach nadawac. Co prawda ułamkiem wata, ale jednak. Prosciej juz zrobic to no z raspberry albo esp32 ;)
Dziękuję Panowie za odpowiedzi, teraz już wszystko jasne.
[…] Technical specifications of the emergency stop signal and how to build a sequence triggering automatic stops are public, are not encrypted and do not require authentication, the IT security website Niebezpiecznik.pl said. […]
[…] Technical specifications of the emergency stop signal and how to build a sequence triggering automatic stops are public, are not encrypted and do not require authentication, the IT security website Niebezpiecznik.pl said. […]
[…] Technical specifications of the emergency stop signal and how to build a sequence triggering automatic stops are public, are not encrypted and do not require authentication, the IT security website Niebezpiecznik.pl said. […]
[…] Technical specifications of the emergency stop signal and how to build a sequence triggering automatic stops are public, are not encrypted and do not require authentication, the IT security website Niebezpiecznik.pl said. […]
Kuwa,gratuluję publikacji szczegółów odnośnie radiostopu,teraz wszystkie gimby będą kupować baofengi albo wouxuny na potęgę…Jesteście mniej rozgarnięci niż koper włoski.To że coś jest publicznie dostępne,nie znaczy że trzeba wyręczać idiotów w googlowaniu.
Sami kolejarze od lat na YT pokazują co i jak. W artykule masz datowane pismo urzędowe. Pierwszy Google zwraca dziesiątki wyników. Zabawny jesteś fanie security by obscurity. Googlnij sobie co to znaczy. Albo poczekaj aż Niebezpiecznik ci kiedyś opisze w artykule. XD
Rocznie radio stop jest nieutoryzowanie uzywane 500-700 razy. Nie wiedziales.
Kiedyś na jakiś zdjęli z anteny “Magazyn 997”, gdyż pewien komendant stwierdził, że to “instrukcja dla przestępców”.
Niby tylko zatrzymanie. Ale co jeśli psuj zatrzyma jeden pociąg, a kolejnego już nie i najedzie na pierwszy? Czy automatyka sterowania ruchem nie pozwoli na to?
PS Redakcjo, co z tym ASzWoj-em? Faktycznie “Polacy nic się ni stało”???
Nie najedzie bo też się zatrzyma.
Nie najedzie. Na jednym odcinku torów (między semaforami) może znajdować się co do zasady maksymalnie jeden pociąg.
Wyjątki to:
– jazda manewrowa (25 km/h lub 40 km/h po torze wolnym od pozostałego taboru)
– jazda na widoczność na samoczynnej blokadzie (20 km/h)
– wyjazd na tor zamknięty (30 km/h)
No to kolej będzie musiała zmienić technologię. Ten radio-stop pochodzi pewnie z czasów gdy ludzie znali tylko pralki “Franie” i odkurzacze Predom Zelmer, a krótkofalówkę miał tylko Borewicz.
Pochodzi z 2004 AFAIK.
Ten system wdrozono pod koniec lat 80 i juz wtedy pierwsze audyty mowily o mozliwym nieutoryzowanym uzyciu. Zadna nowosc. 40 lat to trwa i nic z tym nie zrobiono.
[…] to the Polish language cybersecurity blog Niebezpiecznik, the technical specifications for the emergency stop signal, along with instructions for […]
A co ma do tego “Security by obscurity”? Publikowanie wyciągu z dziennika ustaw wraz z zawartymi tonami “SW” nie jest najmądrzejsze,nawet jeżeli są to informacje jawne.Fakt faktem PKP już dawno powinno przejść na łączność cyfrową i właściwie sami sobie robią pod górę.SHP po łączności analogowej w korespondencji otwartej jest co najmniej śmieszne.Niby pod koniec 2025 mają zmienić system.
Jest jeszcze wiele innych takich publicznie opisanych zabezpieczeń, np. wyłamanie szlabanu na przejeździe i one muszą być publicznie jawne. Teraz modny jest radio-stop, wcześniej popularna była szkoła-stop, czyli zgłaszanie na 112 podłożonej bomby. Rzecz w tym, żeby takie przypadki wyłapywać i przykładnie karać.
VHFki vs GSM-R.
W trakcie zmian…
https://utk.gov.pl/pl/interoperacyjnosc/ertms/gsm-r-1/17421,GSM-R.html
Juz w trakcie zmian wdrazamy cos przestarzalego i opartego na starych technologiach.
Nie mogę się zgodzić, z oskarżaniem PKP, że nic z tym problemem nie zrobiła. Jasne jest, że stosowane zabezpieczenia są wystarczające – osobom nieuprawnionym, takiego sygnału nadawać NIE WOLNO! Czego byście jeszcze chcieli? ;)
A poważniej, to niestety, zbyt często spotykam się z podobnym podejściem. Bezpieczeństwo danych przesyłanych listem zapewniamy tajemnicą ustawową, a bezpieczeństwo danych przekazywanych innej firmie zapewniamy umową, w której zobowiązuje się ona, że do nich nie zajrzy…
No niestety, tak to jest z systemami bezpieczeństwa, że nie mogą być aż nadto skomplikowane, aby działały w kryzysowych sytuacjach bezbłędnie.
Awaryjny wyłącznik prądu, ręczny ostrzegacz przeciwpożarowy czy chociażby zostając w kolei – hamulec awaryjny – to przykładowe podobnej klasy zabawki, które są zabezpieczone dokładnie tak samo – nieskomplikowane, widoczne i dostępne do uruchomienia dla każdego ale z adnotacją, że nieuzasadnione użycie będzie karane.
Za to hakerzy uderzyli w Trawian Games.
Liczę na wybaczenie offtopu a nawet rozwinięcie tematu.
PS: ale żeby było coś w temacie, to skoro wspomniano o hamulcach awaryjnych – otóż w nowym taborze potrafi to być tylko sygnalizacja dla maszynisty. Jak się ma to do przepisów w poszczególnych krajach nie mam niestety pojęcia.
W ostatnich latach było po 500-700 takich incydentów rocznie, więc z tym “złapaniem sprawców” to tak ostrożnie bym się chwalił.
Za prostymi rzeczami, za prostymi zarzutami czasem stoją rzeczy o wiele głębszej natury. Natury wschodniej, jaka realizuje liczne operacje na terenie RP i to oczywiste ;)
Za prostymi rzeczami, za prostymi zarzutami czasem stoją rzeczy głebsze
XXI wiek a w PKP phreaking wiecznie żywy.
No właśnie ciekawe czy był to jakiś tani dwuzakresowy baoś albo kwaczek, odpowiednio przeprogramowany kabelkiem za 20zł, a sygnał został odtworzony – zgodnie z ideą najprostszego phreakingu – z dyktafonu w telefonie.
“(…)niewiele się nie zmieniło.” podwójna negacja to prawda.
[…] Technical specifications of the emergency stop signal and how to build a sequence triggering automatic stops are public, are not encrypted and do not require authentication, the IT security website Niebezpiecznik.pl said. […]
To mi przypomina ‘atak hakerski’ 14 latka, który wykolejał tramwaje w Łodzi. Trzymajcie się – system zmiany zwrotnic w Łodzi powstał w zakładzie przy ul. Dąbrowskiego jeszcze za PRLu i opierał się o pilota podczerwieni – motorniczy ma przycisk na desce, który nadaje kod podczerwieni, natomiast odbiornik jest na sieci trakcyjnej skierowany w dół. Nastolatek zagadał jednego motorniczego i ten pozwolił mu skopiować kod pilotem uniwersalnym. Potem siedząc z przodu drugiego wagonu zmieniał zwrotnice pomiędzy wagonami powodując wykolejenie drugiego wagonu.
To co teraz się dzieje niewiele różni się od wypadków z Łodzi. Przestarzały system, który dawno powinien być wyłączony i nie ma racji bytu w XXI wieku.
Jeśli RADIOSTOP “służy m.in. do ostrzeżenia o zepsutej zwrotnicy”, to ja jestem król Maciuś I. Serio jakiś kolejarz Wam to powiedział? Polecam zmienić eksperta.
[…] Na koniec nadmieńmy tylko, że ten atak nie jest w żaden sposób wysublimowany, hakerski, ani spektakularny. Każdy jest w stanie go przeprowadzić. Podobnie jak w przypadku niedawnych incydentów z sygnałami RADIO STOP (por. To nie hakerzy zatrzymali polską kolej). […]
Pomijając fakt, że nagrana sekwencja tonów jest od dawien dawna dostępna na Youtube i w darmowym symulatorze, jestem przekonany, że co bardziej zdolni potrafią ją zwyczajnie zagwizdać.