Celah keamanan kritis dalam sistem rem kereta api akhirnya mendapat pengakuan resmi setelah ditemukan dan dilaporkan berkali-kali selama dua dekade. Kerentanan ini memengaruhi perangkat End-of-Train dan Head-of-Train yang mengontrol pengereman pada kereta barang di seluruh Amerika Serikat, dengan sekitar 70.000 perangkat memerlukan peningkatan.
Masalah ini berasal dari komunikasi radio yang tidak terenkripsi antara gerbong kereta, memungkinkan penyerang mengirim perintah rem palsu menggunakan peralatan software-defined radio murah yang berharga kurang dari 500 dolar AS. Ini berarti seseorang dengan pengetahuan teknis dasar berpotensi menghentikan kereta atau menyebabkan kegagalan rem dari jarak yang cukup jauh.
Skala Peralatan yang Terdampak:
- 25.000 perangkat Head-of-Train ( HoT ) memerlukan peningkatan
- 45.000 perangkat End-of-Train ( EoT ) memerlukan peningkatan
- Total: 70.000 perangkat di seluruh sistem kereta api AS
- Jadwal peningkatan: Dimulai pada tahun 2026
Resistensi Industri Meskipun Ada Peringatan Berulang
Yang membuat cerita ini sangat mengkhawatirkan adalah pola resistensi industri untuk mengatasi masalah tersebut. Kerentanan ini pertama kali dilaporkan kepada Association of American Railroads pada tahun 2005, kemudian ditemukan kembali oleh peneliti Neil Smith pada tahun 2012, dan lagi oleh Eric Reuter pada tahun 2018. Setiap kali, industri kereta api meremehkan risiko atau menuntut bukti dunia nyata yang tidak dapat diberikan oleh para peneliti dengan aman.
Diskusi komunitas mengungkapkan bahwa ini bukan kasus yang terisolasi. Seorang mantan orang dalam industri membagikan pengalaman mereka dari dua dekade lalu, mencatat bagaimana mereka mengungkap beberapa kerentanan berbeda saat bekerja untuk perusahaan kereta api shortline, tetapi tidak ada yang terjadi karena perusahaan memprioritaskan masalah infrastruktur lainnya.
Kronologi Kerentanan:
- 2005: Penemuan pertama dan laporan kepada Association of American Railroads
- 2012: Ditemukan kembali oleh Neil Smith selama penelitian keamanan ICS
- 2016: Artikel Boston Review diterbitkan mengenai temuan tersebut
- 2018: Eric Reuter mengungkapkan detail teknis di konferensi DEF CON
- 2024: Smith mengirimkan kembali temuan kepada CISA
- 2025: CISA menerbitkan peringatan resmi (CVE-2025-1727)
Realitas Teknis vs Teater Keamanan
Meskipun kerentanan ini terdengar mengkhawatirkan, anggota komunitas berpengalaman menunjukkan konteks penting tentang risiko eksploitasi aktual. Serangan ini memerlukan kedekatan fisik dengan jalur kereta api, dan konsekuensinya agak terbatas. Pengereman darurat dianggap sebagai mode kegagalan yang aman dalam operasi kereta api, dan kereta sudah membutuhkan waktu yang cukup lama untuk berhenti karena beratnya yang sangat besar.
Beberapa pengamat mencatat bahwa kereta menghadapi berbagai tantangan keamanan fisik selain ancaman siber. Metode sederhana seperti menempatkan kabel jumper di atas rel juga dapat menghentikan kereta, dan gerbang perlintasan secara historis dapat dipicu dengan alat dasar seperti paku.
Persyaratan Serangan:
- Biaya: Kurang dari $500 USD untuk peralatan software-defined radio
- Akses: Diperlukan kedekatan fisik dengan jalur kereta api
- Pengetahuan: Diperlukan pemahaman protokol yang mendalam
- Target: Komunikasi radio tidak terenkripsi antara perangkat kereta
Cakupan Terbatas tetapi Konsekuensi Nyata
Kerentanan ini terutama memengaruhi operasi barang daripada layanan penumpang. Sebagian besar kereta penumpang menggunakan sistem kontrol yang berbeda dan biasanya lebih pendek, mengurangi ketergantungan mereka pada perangkat End-of-Train. Namun, potensi untuk mengganggu operasi barang di seluruh sistem kereta api nasional tetap signifikan.
Penasihat terbaru CISA mengakui bahwa eksploitasi akan memerlukan akses fisik ke jalur kereta api, pengetahuan protokol yang mendalam, dan peralatan khusus, yang membatasi serangan luas. Meskipun demikian, lembaga tersebut bekerja dengan mitra industri untuk menerapkan perbaikan, dengan peningkatan perangkat diharapkan dimulai pada tahun 2026.
Insiden ini menyoroti ketegangan yang sedang berlangsung antara peneliti keamanan siber dan operator infrastruktur kritis, di mana kekhawatiran keamanan yang sah terkadang bertentangan dengan prioritas operasional dan pertimbangan ekonomi. Setelah 20 tahun peringatan, industri kereta api akhirnya mengambil tindakan untuk mengamankan sistem keselamatan fundamental ini.
Referensi: Train Brakes Can Be Hacked Over Radio—And the Industry Knew for 20 Years