去年9月深夜,安全研究员鲁本·桑塔玛塔(Ruben Santamarta)坐在他马德里的家庭办公室里,参与了一些有创意的谷歌搜索,寻找与他多年痴迷的技术文件:飞机的网络安全。他很惊讶地在波音公司的网络上发现了一个完全不受保护的服务器,该服务器似乎充满了旨在在该公司的大型737和787客机上运行的代码,并公开提供给任何发现它的人。因此,他下载了所有可以看到的内容。
现在,将近一年后,Santamarta声称泄漏的代码使他陷入了前所未有的境地:787 Dreamliner组件之一的安全漏洞深入飞机的多层网络中。他建议,对于黑客来说,利用这些漏洞可能代表多阶段攻击的一个步骤,这种攻击始于飞机的机上娱乐系统,并扩展到高度受保护的,对安全至关重要的系统,例如飞行控制和传感器。
波音断然否认这种攻击是可能的,并且拒绝了他声称已经发现了将其实施的潜在途径的说法。圣塔玛塔本人承认,他对飞机没有足够的了解(或无法使用价值2.5亿美元的喷气式飞机)以证实他的主张。但是他和其他航空电子网络安全研究人员回顾了他的发现,他们认为,尽管对飞机最敏感的系统进行全面的网络攻击远未构成实质性威胁,但787法规中发现的缺陷仍然令人担忧地缺乏对网络安全的关注波音 他们还说,鉴于保持商用飞机免受黑客攻击的重要性至关重要,该公司的反应并未完全令人放心。
在今天在拉斯维加斯举行的Black Hat安全会议上,安全公司IOActive的研究人员Santamarta计划介绍他的发现,包括787组件(称为乘员信息服务/)中代码中多个严重安全缺陷的详细信息/维护系统。CIS / MS负责维护系统和所谓的电子飞行包,飞行员使用的导航文件和手册等应用程序。Santamarta说,他在该CIS / MS中发现了许多内存损坏漏洞,并且他声称黑客可以利用这些漏洞作为飞机网络受限部分的立足点。Santamarta说,攻击者有可能从机上娱乐系统转到CIS / MS,从而向控制飞机的更敏感组件发送命令。的安全关键系统,包括其引擎,制动器和传感器。波音坚持认为,787的网络体系结构中的其他安全障碍将使这种发展成为不可能。
Santamarta承认,他对787内部没有足够的可见性,无法知道这些安全障碍是否可以绕开。但是他说,尽管如此,他的研究还是朝着展示实际的飞机黑客技术的可能性迈出了重要的一步。Santamarta说:“我们没有787可以测试,所以我们无法评估其影响。” “我们并不是说今天是世界末日,或者我们可以坐飞机下来。但是我们可以说:这不应该发生。”
广告
飞行防火墙
波音公司在一份声明中说,它已对IOActive的主张进行了调查,并得出结论认为,这些主张并不构成对网络攻击的任何真正威胁。该公司的声明说:“ IOActive的情况不会影响任何关键或必要的飞机系统,也不会描述远程攻击者访问重要的787系统(如航空电子系统)的方式。” “ IOActive仅使用基本工具审查了787网络的一部分,无法访问较大的系统或工作环境。IOActive选择忽略了我们经过验证的结果和研究局限性,而是做出挑衅性声明,好像他们可以访问并分析了工作系统。尽管我们感谢独立网络安全研究人员的负责任参与,但我们对IOActive的不负责任的陈述感到失望。”
在与WIRED的跟进电话中,公司发言人表示,在调查IOActive的索赔时,波音公司甚至将实际的波音787置于“飞行模式”进行测试,然后让其安全工程师尝试利用这些漏洞。圣塔玛塔(Santamarta)暴露出来的 他们发现他们无法进行成功的攻击。向波音公司提供CIS / MS代码的霍尼韦尔还在给WIRED的一份声明中写道:“经过广泛的测试,霍尼韦尔及其合作伙伴确定不会对飞行安全造成威胁,因为787的关键系统不会受到影响。”
IOActive的攻击声明以及霍尼韦尔和波音的否认都是基于787内部的特定架构。Dreamliner的数字系统分为三个网络:一个开放数据网络,其中居住着机上娱乐系统等非敏感组件;一个隔离的数据网络,其中包括IOActive定位的更敏感的组件,例如CIS / MS;最后是通用数据网络,这是三者中最敏感的,它连接到飞机的航空电子和安全系统。Santamarta声称,他在CIS / MS中发现的漏洞夹在ODN和CDN之间,为彼此之间提供了桥梁。
但是波音公司反驳说,它既在CIS / MS中具有“附加保护机制”,可以防止其错误被ODN所利用,又在半敏感的IDN(CIS / MS所在的位置)与高度敏感的CDN。该公司认为,第二个障碍仅允许数据从网络的一部分传递到另一部分,而不是影响飞机关键系统所需的可执行命令。
该公司的声明总结说:“尽管出于安全原因,我们没有提供有关网络安全措施和保护的详细信息,但波音公司有信心其飞机可以免受网络攻击。”
波音公司还就桑塔玛塔的袭击事件咨询了美国联邦航空管理局和国土安全部。尽管国土安全部没有回应置评请求,但美国联邦航空局发言人在给《连线》杂志的一份声明中写道,它“对制造商对该问题的评估感到满意”。
“这是安全101”
新的软件缺陷声称是在波音停飞的737 Max飞机持续丑闻的背景下进行的,该飞机的错误控制导致两次坠机,造成346人死亡。同时,Santamarta在解决其网络安全措施方面与航空航天业有着未解决的分歧。他以前曾入侵过Panasonic Avionics机上娱乐系统。例如,在去年的Black Hat会议上,他介绍了卫星通信系统中的漏洞,他说这些漏洞可用于入侵某些不敏感的飞机系统。航空业共享和分析中心在新闻稿中回击他的发现是基于“技术错误”。Santamarta反驳说,A-ISAC正在“杀死使者”,试图抹黑他,而不是着手研究。
加州大学圣地亚哥分校的计算机科学教授史蒂芬·萨维奇(Stefan Savage)说,但即使同意波音公司关于其安全屏障的主张,圣塔玛塔发现的漏洞也非常严重,以至于不应将其消除。在航空电子网络安全测试平台上。Savage说:“声称不应该担心一个漏洞,因为其他保护措施阻止了该漏洞的利用,在计算机安全方面有着非常糟糕的历史。” “通常,在有烟的地方有火。”
野蛮人特别指出了在嵌入式操作系统VxWorks版本中突出显示的漏洞Santamarta ,在本例中是霍尼韦尔为波音定制的。Santamarta发现,当应用程序要求写入基础计算机的内存时,量身定制的操作系统无法正确检查其是否改写了操作系统最敏感的内核-内核。Savage认为,结合Santamarta发现的几个应用程序级错误,所谓的参数检查特权升级漏洞代表了一个严重的缺陷,这是由于VxWorks可能在飞机上的许多其他组件中运行的,而这些缺陷可能具有相同的缺陷,这一点变得更加严重。错误。
Savage说:“每个软件都有错误。但这不是我想要查找错误的地方。检查用户参数的安全性是101。” “它们不应该具有这些直接的漏洞,尤其是在内核中。在当今时代,消费者操作系统不检查用户指针参数是不可想象的,因此我希望这与飞机一样。 ”
华盛顿大学的另一位航空电子网络安全性学术研究人员卡尔·科舍尔(Karl Koscher)说,他发现飞机部件中存在如此严重的安全漏洞,如Santamarta在CIS / MS中报告的那样。Koscher说:“也许波音公司有意将其视为不可信的,而系统的其余部分可以处理不可信的问题。但是,这没关系,因为进一步的缓解措施并不是一个好的答案。尤其是如果某些缓解措施没有像您想象的那样强大。”
Koscher还指出CIS / MS可以访问电子飞行包,其中包含飞机驾驶员可以通过驾驶舱中的平板电脑查阅的文件和导航材料。破坏该数据可能导致其自身形式的混乱。Koscher指出:“如果在驾驶舱中造成混乱和错误信息,可能会导致一些非常糟糕的后果。” (波音公司的一位发言人说,尽管EFB都位于787网络的同一部分,但它们也不能从CIS / MS受到损害。)
飞速发展的大型计算机收藏
显然,Savage和Koscher都不认为,仅根据Santamarta的调查结果,黑客可能会对飞机或其乘客造成任何直接危险。Savage说:“距离迫在眉睫的安全威胁还有很长一段路要走。基于他们现在的状况,我认为您可以让IOActive家伙在787上狂奔,而我仍然很乐意乘坐它。” “但是波音有工作要做。”
Savage指出,很难评估IOActive的发现是否确实代表迈向严重攻击的一步,这仅仅是由于飞机安全研究无法进行后勤。像波音这样的公司可以全面测试价值25亿美元的飞机的安全性,但是对于发布的结果却存在着深厚的利益冲突。像IOActive的Santamarta这样的独立黑客没有足够的资源来进行那些全面的调查,即使资源丰富的州级黑客或其他愿意在机载机上进行测试的人也是如此。
尽管波音公司否认并做出了保证,但桑塔玛塔的研究应该提醒人们,飞机安全还远远没有解决网络安全研究领域。萨维奇说:“这提醒人们,飞机就像汽车一样,依赖于日益复杂的联网计算机系统。” “他们无法逃避随之而来的漏洞。”
