Scoperta nel 2012, ignorata fino al 2025: la falla che può provare incidenti ferroviari negli USA

Una grave vulnerabilità nei sistemi radio di frenata dei treni americani, scoperta nel 2012, è rimasta ignorata per oltre un decennio. L'allarme è stato preso sul serio solo nel 2025, dopo la pubblicazione di un avviso ufficiale da parte della CISA. I tempi di aggiornamento, però, non sono immediati.
di Manolo De Agostini pubblicata il 15 Luglio 2025, alle 12:01 nel canale SicurezzaUna vulnerabilità critica nei sistemi di comunicazione radio tra le estremità dei treni americani è stata recentemente riconosciuta come un rischio reale solo dopo oltre un decennio di segnalazioni ignorate. Il problema riguarda i moduli End-of-Train (EoT) e Head-of-Train (HoT), dispositivi installati rispettivamente in coda e in testa ai convogli ferroviari per monitorare e gestire funzioni di sicurezza, inclusi i freni.
Il ricercatore di sicurezza Neil Smith, conosciuto online come midwestneil, racconta in un lungo thread su X di aver segnalato per la prima volta la vulnerabilità nel lontano 2012, quando gli apparati SDR (Software Defined Radio) sono diventati accessibili anche ai privati. Il sistema radio usato per il dialogo tra EoT e HoT si affida a un semplice checksum BCH, anziché a un meccanismo crittografico, per autenticare i pacchetti. Questo significa che chiunque possegga una SDR (Software Defined Radio) da meno di 500 dollari può potenzialmente inviare un falso comando di frenata al treno, senza che il macchinista se ne accorga.
La funzione di frenata da remoto è pensata come misura di emergenza, ad esempio per evitare che un treno diventi incontrollabile se si rompe il collegamento fisico tra i vagoni. Tuttavia, l'assenza di cifratura nei segnali rende possibile un'interferenza dolosa con conseguenze potenzialmente gravi, come arresti improvvisi, interruzioni al traffico merci o - in scenari estremi - incidenti ferroviari.
Nonostante la gravità del problema, l'American Association of Railroads (AAR) ha a lungo sminuito la questione. Secondo Smith, le prime segnalazioni furono accolte con scetticismo. L'AAR avrebbe ritenuto la minaccia puramente teorica, rifiutandosi di permettere test indipendenti su binari di prova, mentre la Federal Railway Authority (FRA), priva di strutture adeguate, non ha potuto intervenire.
Smith ha anche pubblicato i dettagli della vulnerabilità sul Boston Review, solo per essere smentito pubblicamente da rappresentanti dell'AAR in un'intervista a Fortune.
Nel corso degli anni, la posizione ufficiale dell'associazione è rimasta invariata: nel 2024, il direttore della sicurezza informatica dell'AAR ha dichiarato che i dispositivi vulnerabili erano ormai "a fine ciclo" e quindi non era necessario intervenire con urgenza.
So how bad is this? You could remotely take control over a Train's brake controller from a very long distance away, using hardware that costs sub $500. You could induce brake failure leading to derailments or you could shutdown the entire national railway system.
— neils (@midwestneil) July 11, 2025
La svolta è arrivata nel luglio 2025, quando la Cybersecurity & Infrastructure Security Agency (CISA) statunitense ha emesso un avviso ufficiale (CVE‑2025‑1727), evidenziando i rischi reali della vulnerabilità e costringendo l'AAR a cambiare posizione. L'organizzazione ha così annunciato una transizione verso un nuovo standard radio, basato su protocolli crittografati (802.16t), con implementazione prevista non prima del 2027.
Nel frattempo, alcuni operatori ferroviari sostengono che l'impatto pratico sia limitato, in quanto la funzione vulnerabile è usata quasi esclusivamente sui treni merci, e i sistemi frenanti presentano meccanismi di fallback autonomi. Tuttavia, la comunità della sicurezza informatica è unanime nel sottolineare come la mancanza di autenticazione nei sistemi di controllo remoto rappresenti una falla di progettazione inaccettabile, soprattutto nel caso di infrastrutture critiche.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSolo quando videro che i Bomarc si rizzavano spontaneamente per iniziare il lancio a seguito di puro rumore quando entrambe le due linee di comando andavano in fail (era estremamente improbabile ricevere una sequenza di comando completamente correttamente formata per caso, per cui alla fine il sistema andava in timeout e i missili si riafflosciavano nei loro coffin), solo allora presi dallo spavento istituirono una commissione per definire il semplice rimedio di sconnettere il tutto quando entrambe andavano in alta impedenza.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".