黑阔如何攻击地铁理论(转)

来自知乎 先写结论：地铁的有线网络、无线网络、硬件设备、通信设备本质上与平时的工业和互联网的软硬件并无关键性区别，所以存在入侵地铁电脑系统的可能，但是想要控制列车做出特定动作，包括加速、开门、停车后逆向行驶，难度比较大，仅是理论上的可能。

注：其实我觉得控制列车做出特定操作已经不可能了，但高手在民间，不敢写得太满……

我没见过什么世面，大神别笑话我。

关键是别真的去黑地铁，损人不利己，白开心啊...

下面列出一些我能想到的“玩坏”地铁的方法：

?【难度：Easy】如何控制地铁突然停止

这太简单了...只要地铁信号上的任何一个组件判定列车继续行驶不安全，那么它/它们就会强迫列车紧急制动，只要利用地铁这个故障-安全的机制就可以实现。没难度。

举个例子，你冲到驾驶室旁边的那个门，拿锤子砸，使劲砸，里面有车载安全计算机；或者随便哪个车厢的门，搬动紧急制动手柄；或者站台上的综合后备盘搞一个，随便按。

要是综合后备盘抢不过来，你跳下站台让站务主动帮你按紧急停车按钮也可以的，但请注意时机....别玩脱了。

?【难度：Normal】如何控制地铁跳站、不能发车（扣车）、减速运行、制造晚点

可以侵入轨旁骨干以太网，获取ATS（列车自动监控）系统高级管理员账号之后，对列车时刻、临时限速进行修改即可实现列车某个站不能发车、某个站不停车、某个区段紧急停车、某个区段减速运行、大面积列车晚点等操作。

ATS是运行在商用计算机和服务器上的，有USB和网口（当然一般要求所有端口物理隔离），接入骨干以太网，所以攻入ATS是比较简单的。（相对简单，此以太网是专网。）不过要进车站控制室可没那么容易，可以通过骨干路由器试试。这玩意儿在哪儿我可不知道...

ATS本身在地铁信号上是一个人机接口，所以不能进行安全功能，一般来说只能减速或者不让列车开车，列车的大部分关键动作（加速、开关门）是由安全计算机自行完成的。即使调度员和列车司机故意破坏运规，多层设备防护过滤后，命令最终不会执行。所以即使ATS被黑，也不能操作列车进行特定动作。

?【难度：Hell】如何控制列车运行（加速、开门、停车后逆向）

1.如果要控制列车，可以选择攻破车地无线通信。这是一个专用的无线网络。有软硬件加密的要求。（具体的加密方式我就不列了...咱也是一知半解，应该是比较难破解的加密方式。）地铁使用的无线通信系统（轨旁和车载之间的通信）是私密的通信协议，并且需要符合欧洲标准EN50159：2010 Railway applications. Communication, signalling and processing systems. Safety-related communication in transmission systems。（BS EN 50159:2010）但归根到底，这份标准以及开发的通信协议是为了防止地铁软硬件系统本身发生数据畸变、电磁干扰等状况导致系统发出错误命令的。并不能防范黑客有意的攻击。PS：其实你在隧道中制造一个比较强的电磁干扰信号，就可以实现列车紧急停车并且无法启动了。

2.隧道内的轨床上也安装有可以用于车地通信的电子设备：应答器。有些是不可读写的，有些是可以通过特定工具进行读写操作的。里面存数了一些线路数据，也可以攻破后进行一些操作。这个子系统常用于定位和测速误差校准，不能进行特定的动作，但可以制造混乱。但别在隧道逗留啊，5分钟一辆地铁，你懂的。

3.攻克无线通信网络后，需要研究列车的“语言”。各家信号厂商对车载和轨旁系统之间的报文格式存在不一致，信息的在报文中的段位是不同的。如果要控制列车做出特定动作，那么需要清楚哪些信息在报文那个段。否则只能令列车紧急制动。

4.换个思路，可以尝试攻破车载、轨旁的硬件设备。这其中硬件OS用嵌入系统的。所以也是有漏洞可循的。硬件架构采取各种表决机制，如果想要做出特定的动作，需要满足各种冗余处理单元表决一致的条件。

5.轨旁的安全设备是锁在设备室的，处于常闭常锁状态。车载的安全计算机就在驾驶室旁边，当然也是锁得很牢啦。

暂时想到这些，博大家一笑。

地铁虽然偶尔趴窝，时常晚点，或者还会突然停车，但地铁整体的安全性还是很高的，请大家放心；请黑客高抬贵手。：）