Tayvan’da yüksek hızlı tren operatörünün telsiz sistemine yönelik yakın tarihli bir saldırı, üç hızlı trenin yaklaşık bir saat boyunca acil olarak durdurulmasına yol açtı ve demiryolu ağlarının iletişim ile izleme platformlarını yeniden mercek altına aldı. 5 Nisan’da 23 yaşındaki bir tren meraklısı, internetten satın aldığı donanım ve kurduğu yazılım tanımlı radyo (SDR) düzeneğiyle Tayvan Yüksek Hızlı Demiryolu’nun (THSR) operasyon merkezine sahte bir genel alarm (general alarm – GA) sinyali gönderdi. Şirket, sinyalin alındığı bölgedeki üç hızlı trene acil fren talimatı verdi ve seferlerde 48 dakikalık bir gecikme yaşandı.
Olayın teknik ayrıntıları büyük ölçüde açıklanmasa da, acil durum telsiz sistemlerindeki açıkları inceleyen Hollandalı siber güvenlik danışmanlığı Midnight Blue’nun kurucu ortağı Wouter Bokslag’a göre saldırı oldukça basit olmuş olabilir: acil durum bildiren bir ses ya da metin. THSR’nin, doğru kurulduğunda ve titizlikle bakımı yapıldığında güvenli olabilen, ancak güvensiz bir yapılandırmada bırakılması da bir o kadar kolay olan TETRA (Terrestrial Trunked Radio) acil durum telsiz protokolünü kullandığı bildiriliyor.“Bu teknolojilerin çekirdeği kesinlikle eski şeyler, ama güvenilir. TETRA ağı belirli koşullar altında güvenli olabilir ve burada uygun bir çözüm sunabilir; ancak ağları için en güçlü yapılandırmayı kullandıklarını sanmıyorum.”
Kolay Erişim
Polonya’dan Tayvan’a: Daha sofistike bir versiyon
Demiryolu sistemleri, son yıllarda hem siber güvenlik araştırmacılarının hem de saldırganların giderek artan ilgisini çekiyor. Ağustos 2023’te, trenleri hedef alma geçmişi bulunan Polonya’da, hackerlar, iki gün boyunca basit bir üç tonlu telsiz sinyali kullanarak trenlere durma emri verdi ve ülkenin üç farklı bölgesinde ulaşımı aksattı. Bir ay sonra İran yanlısı hacktivist grup Cyber Avengers, İsrail’de trenleri kesintiye uğrattığını öne sürdü; ancak İsrailli yetkililer ve siber güvenlik firmaları bu iddiaları yalanladı.
Polonya olaylarını inceleyen siber güvenlik danışmanı Lukasz Olejnik’e göre Tayvan vakası, Polonya’daki “Radio-Stop” olaylarının daha gelişmiş bir versiyonu gibi görünüyor. Polonya’da hackerlar yalnızca acil durumu işaret eden eski analog tonları çoğaltmıştı.“Tayvan’da görünüşe göre ortamı anlamak ve alarmı tetikleyecek gerekli parametreleri çıkarıp klonlayarak enjekte etmek gerekiyordu.”
Olejnik, buradan çıkarılacak dersin, iletişim protokollerinin yalnızca düzgün uygulandıklarında dayanıklılık kattığı; kimlik doğrulama, anahtar rotasyonu, terminal kontrolü ve anomali tespiti gibi unsurların fiilen uygulanması gerektiği olduğunu söylüyor.
TETRA’nın açıkları ve şifreleme ikilemi
Demiryolu operasyonlarının pek çok yönü siber saldırılara ve elektronik sahteciliğe açık. Örneğin Temmuz 2025’te ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ABD demiryolu sistemlerinde tren sonu ve tren başı cihazlarına yönelik iletişimin kolayca taklit edilmesine dolayısıyla ani tren duruşlarına, hatta raydan çıkmalara olanak tanıyan bir açık konusunda uyarmıştı.
Acil durum ekipleri, polis, ordu ve endüstriyel uygulamaların yanı sıra demiryolu sistemlerinde de yaygın biçimde kullanılan TETRA protokolünün uygulanış biçiminde, Midnight Blue araştırmacıları 2023 ve ardından 2025’te ciddi güvenlik açıkları keşfetmiş; bu açıkların esasen saldırganların erişimine açık, düşük güvenlikli bir arka kapı bıraktığını ortaya koymuştu. Bu ifşaların ardından Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI), iki yıl önce verdiği sözü yerine getirerek TETRA’nın güvenlik algoritmalarını kamuoyuna açıkladı.
Ancak Bokslag, şifrelemenin kamuya açılmasının iki ucu keskin bir bıçak olduğuna dikkat çekiyor: Güvenliğin halk tarafından denetlenebilmesi olumlu olsa da, bu erişilebilirlik saldırganların güvenliği analiz etmesine olanak tanırken, savunucuların payına ağlarını yükseltmek ve sürdürmek gibi çok daha zahmetli bir iş düşüyor.
“Bir ağın güvensiz olduğunu tespit etmek için gereken tüm bilgiyi kamuoyuna sunduk; ama buna göre harekete geçmek karmaşık bir süreç.”
Bokslag’a göre durumu ağırlaştıran bir etken de, sistem entegratörlerinin, hatta satıcı ve ekipman üreticilerinin müşterilerine yanlış öneriler verdiğine dair birden fazla raporun bulunması.
Korunması en zor altyapılardan biri
Operasyonel teknoloji (OT) güvenliği firması Claroty’nin saha teknoloji direktörü (field CTO) Sean Tufts, demiryolu sistemlerinin yapısal bir sorunla boğuştuğunu vurguluyor: geniş saldırı yüzeyi, coğrafi olarak dağınık yapı, on yıllar öncesine dayanan eski sistemler ve korunması zor çok sayıda uzak dijital iletişim noktası.
“Bir demiryolu hattının ortasındaki son makas istasyonuna ulaşmak, onunla doğru iletişimi kurmak ve etrafına siber güvenlik yerleştirmek bu, dünyadaki her demiryolu operatörü için bir mücadele alanı.”
Tufts’a göre dağınık varlıklarını korumak isteyen demiryolu şirketlerinin, güvenli ve güvenilir iletişim altyapısının yanı sıra ağlarının her noktasından telemetri toplama kabiliyetine de ihtiyacı var.
Şimdilik “amatör” saldırılar, peki ya sonrası?
Şu ana kadar demiryolu kesintilerinin büyük bölümü, ciddi siber suçlular ya da devlet destekli aktörler tarafından değil, hobi amaçlı telsiz hackerları ve tren meraklıları tarafından gerçekleştirildi. Tufts, bu tablonun değişmesi ve demiryolu sistemlerinin sofistike saldırılara maruz kalması halinde ulusal ekonomilerin etkilenebileceği uyarısında bulunuyor; örnek olarak Hürmüz Boğazı’ndaki gerilimin petrol akışında yol açtığı yüzde 20’lik düşüşü gösteriyor. “ABD’de böyle bir şey yaşansaydı bu, imalattan tüketim mallarına, gıda ve içeceğe kadar zincirleme etkiler yaratırdı. Tek bir kısıtlama noktası muazzam kesintilere yol açabilir.”
Olejnik’e göre Tayvan ve Polonya olayları, ulaşıma yönelik saldırıların, nedeni basit olsa bile, ciddi etkiler doğurabileceğini gözler önüne seriyor. Demiryolu operatörlerinin yalnızca güvenli teknolojileri benimsemeye değil, bunların güvenli biçimde devreye alınmasını sağlamaya da daha fazla odaklanması gerekiyor. “Demiryolları kimlik doğrulaması yapılmayan sistemlerden uzaklaşmalı. Güvenlikle ilgili her telsiz komutu, kriptografik olarak korunmalı ve tekrar (replay) ile enjeksiyon saldırılarına karşı güvence altına alınmalı.”
Bu haber, Dark Reading’de yayımlanan habere dayanmaktadır.
