9:51
16/4/2015

Najnowszy raport amerykańskiej rządowej agencji GAO (odpowiednik naszego NIK-u) wskazuje na potencjalne ataki na samoloty poprzez sieć multimedialną, do której dostęp mają pasażerowie.

Dwie (trzy?) sieci IP w samolocie

Raport został stworzony dla FAA (Federal Aviation Administration) i jego głównym wnioskiem jest ocena ryzyka ataków na sieci IP wykorzystywane w samolocie — a są nimi:

  • sieć obsługująca ekrany multimedialne przeznaczona do umilania czasu pasażerom
  • sieć kontrolna/techniczna, wykorzystywana przez urządzenia w kokpicie dostępna (w założeniu) tylko pilotom
  • sieć Wi-Fi dla pasażerów z dostępem do internetu (wedle niektórych, połączona z siecią multimedialną, wedle innych realiowana za pomocą odrębnej infrastruktury sprzętowej)
Wizualizacja sieci w samolocie

Wizualizacja sieci w samolocie

Przy takiej architekturze, twórcy raportu zauważają 2 możliwe wektory ataków. Pierwszy z nich dotyczy nieautoryzowanego dostępu do sieci kontrolnej samolotu poprzez sieć Wi-Fi dostępną dla urządzeń pasażerów. Powołani przez autorów raportu “4 eksperci cyberbezpieczeństwa” stwierdzili, że

firewalle, które separują obie sieci, ponieważ są oprogramowaniem, mogą posiadać dziury, które można wykorzystać do “hackowania” tak samo jak dziury w innym oprogramowaniu

Raport nie podaje jednak żadnej demonstracji praktycznego ataku, a jedynie dyskutuje o możliwych w teorii atakach, wynikających z tego, że w samolocie obie z sieci (multimedialna i kontrolna) korzystają z tej samej infrastruktury (kabli i routerów).

Drugi z wektorów ataku wymienionych przez badaczy w raporcie dotyczy ataków przez Internet. Scenariusz miałby wyglądać następująco. Skoro urządzenie pasażera podpięte do sieci Wi-Fi na pokładzie samolotu ma dostęp do internetu, to i internet ma dostęp do urządzenia. To oznacza, że w pewnych sytuacjach infekcja urządzenia bądź możliwość jego kontrolowania “z ziemi” przez atakującego, może — na skutek braku odpowiedniej separacji obu sieci w samolocie — spowodować nieautoryzowany dostęp atakującego do sieci kontrolnej samolotu.

Raport uspokaja jednak, że do tej pory nie stwierdzono żadnego tego typu przypadku — ale przypomnijmy, że sporo zamieszania wzbudził Hugo Teso, który zademonstrował jak za pomocą telefonu z Androidem można przejąć kontrolę nad awioniką samolotu poprzez umiejętne wstrzykiwanie informacji FMS w Boingach.

Na ile realne są te zagrożenia?

Warto zauważyć, że raport zakłada iż wszystkie sieci IP są w każdym z samolotów zaprojektowane w taki sam sposób. Czy w istocie tak jest? Może wśród naszych czytelników jest jakiś technik pokładowy?

Co do ataków, które wskazali eksperci — to opisane przez nich scenariusze ataków w sieciach IP są jak najbardziej możliwe. Wspomnijmy o VLAN hoppingu (do wykonania, jeśli obie sieci IP współdzielą tego samego switcha) lub dostępie do interfejsu zarządzania współdzielonego przez obie sieci routera z poziomu sieci “nazaufanej” (multimedialnej). Dostęp taki jednak byłby możliwy albo na skutek błędu w firmware routera (a takie się zdarzają) albo na skutek błędnej konfiguracji oprogramowania routera przez serwisantów (a to też się zdarza).

Ponieważ wczoraj o tę kwestię zapytał nas Forsal, zakończmy niniejszy artykuł wypowiedzią udzieloną dziennikarzowi:

Nie można wykluczyć, że na skutek błędu projektowego lub np. pomyłki serwisanta sieć multimedialna danego samolotu nie została w pełni odseparowana od sieci technicznej samolotu. Gdyby w istocie sieci te współdzieliły jakieś urządzenia, mogłoby to oznaczać, że — np. ze względu na błąd w firmware samolotowego switcha — użytkownik podpięty do jednej z sieci może mieć wpływ na dane przetwarzane w drugiej sieci.

Mamy jendak nadzieję, że dzisiejsze samoloty, w przeciwieństwie do niektórych samochodów, są w stanie dalej funkcjonować bez części systemów elektronicznych (zakładając ich paraliż przez udany atak). Wtedy nawet celowa awaria lub rekonfiguracja któregoś z systemów z sieci kontrolnej/technicznej samolotu dalej może zostać nadpisana przez pilota, np. ustawieniami mechanicznymi.

Wydaje nam się też, że terrorystom wciąż łatwiej będzie przemycić ładunek wybuchowy na pokład samolotu, niż starać się włamywać do sieci technicznej przez pada do gry wyposażonego w 4 przyciski, nawet, jeśli to możliwe. Pasażerska sieć Wi-Fi, według zdobytych przez nas nieoficjalnie informacji, ma być bowiem całkiem odseparowana od sieci multimedialnej i technicznej/kontrolnej — tu więc terroryści mogą sobie hackować do woli …laptopy innych pasażerów np. wyświetlając im ten filmik:

…albo bawić się w podmianę nazwy sieci (por. Nazwa sieci Wi-Fi jako sposób na rozmowy z sąsiadami).

PS. Ktoś zna zapytanie do Shodana wykrywające samoloty? ;-)


Przeczytaj także:



35 komentarzy

Dodaj komentarz
  1. To teraz przydałoby się podstawić jakiegoś A380 do was pod firmę żebyście mogli przetestować…

    • Kupiliśmy już kilka biletów na transatlantyki, żeby w razie czego, przy okazji przetestować procedurę wodowania ;)

    • Emirates lata A380 do Europy. Chociaż nadal nie znieśli nam wiz do ZEA ;(

    • od 2014 roku nie ma juz wiz dla Polaków do ZEA. To znaczy są … on arrival czyli formalność i bez kosztów.
      Ale oczywiście nie o to chodzi w tym poscie :)

    • Postawić Airbusa pod redakcję. Jak go uruchomisz, jest twój.

      Może wtórne, ale na bogato.

  2. Będziecie musieli wzbudzać niemałą sensację wchodząc na pokład samolotu w kamizelkach ratunkowych :)

    • Kamizelki ratunkowe są pod/obok każdego siedzenia :)

  3. Dzisiaj słyszałem w radio, że po tym ostatnim wypadku, gdzie pilot celowo rozbił samolot, zastanwiają się nad wprowadzeniem awaryjnego sterowania samolotem z ziemi. Gdy stwierdzą, że samolot został porwany, albo pilot będzie chciał zrobić cos głupiego (co i tak nie zabezpieczy w 100%, przecież pilot może zrobić niebezpieczny manewr tuż przed lądowaniem), kontrola lotów będzie mogła przejąć sterowanie samolotem :D

    To będzie dopiero fun, jak komuś się uda przejąć kontrolę nad samolotem, a piloci będą mogli tylko siedzieć i patrzeć jak lecą wprost na budynek.

    • Akurat ostatniemu samobójstwu można zapobiec sprzęgajac autopilota z systemami TAWS (Terrain Awarness and Warning System) i TCAS (Traffic collision avoidance system). Czyli nauczenie autopilota, że nie może się rozbić ani o ziemię, ani o inne samoloty. (pilot jak chce zabić siebie i pasażerów musi to zrobić ręcznie).

    • Pisali o tym w TVN24:
      http://www.tvn24.pl/wiadomosci-ze-swiata,2/zdalne-sterowanie-samolotow-reakcja-na-katastrofe-germanwings,533721.html
      Od razu pomyślałem o Talibach hackujących samoloty…

    • Teraz cierpiący na depresję kontroler naziemny będzie mógł rozbić o ziemie kilkadziesiąt samolotów? Co za postęp.
      BTW Przypomina mi się, że temat WIFI w samolocie już dawno był brany pod uwagę:
      http://ih.constantcontact.com/fs008/1109340384967/img/64.jpg?a=1109772628055

    • najnowsze systemy TCAS w Airbusach posiadaja system aby samodzielnie wykonac manewr w tej ostatecznej chwili jak pilot strzeli focha i bedzie chcial sie zabic.

    • Wypowiadając się niczym jakiś crazy torrorist albo gorzej ;) :

      I co wam da TAWS i TACS skoro wystarczy podejść do problemu wywołania katastrofy tak,że:
      1.Nie można wyłączyć TAWS i TACS0
      2.Zablokować wykonywanie komend przez pilotów i dalszego kontaktu z ziemią.

      No i teraz zablokowaliśmy zbliżanie się do ziemi – albo taka awaria była – i co ?
      I niech sobie krąży,w końcu paliwo się skończy to spadnie…

      Niestety nie ma na to recepty i nie będzie – bezpieczne loty to fikcja a awaria czegoś z fly-by-wire oznacza dziś po prostu śmierć. W dodatku autopilot i inne tego typu zabawki są głupie.Ja wiem.Programistów od przeczytania czegoś takiego trafi jasna #ol&R@ ale fakty są faktami – możecie sobie programować samochody i samoloty i projektować wspaniałe autopiloty i systemy bezpieczeństwa ale te zabawki i tak nie będą w stanie zastąpić człowieka przez dłuższy czas.

      Dlaczego ? Przyczyna jest prozaiczna. Program dla auta czy samolotu nie tylko musi być hiperpoprawny (chodzi o ludzkie życie) ale na dodatek musi poprawnie przewidzieć możliwe sytuacje.A póki nie potrafi sobie ze wszystkim poradzić w sytuacjach KRYZYSOWYCH musi zastąpić ten program kto ? człowiek moi państwo.Człowiek…

      Komputery potrafią zrobić rzeczy o których możemy tylko pomarzyć,owszem.Zdolny zrobić mrówczą pracę na niewyobrażalną skalę.Ale komputer to póki co kompletny krzemowy idiota głupszy od pojedynczej mrówki.Bo nawet mrówka potrafi improwizować. A komputer – nie.

    • Można pogodzić awaryjne sterowanie samolotu z ziemi z bezpieczeństwem. mianowicie wystarczy zastosować sprzętowe (a nie programowe) zabezpieczenia w postaci czujników, radarów itp., które nie pozwolą rozbić samolotu np. o ziemię lub budynek mimo poleceń wykonania takiego manewru z awioniki. Innymi słowy kłania się wyposażenie awioniki w tarczę idiotoodporną chroniącą przed skutkami ataku na oprogramowanie, bo trzeba zakładać scenariusz wydania przez oprogramowanie destrukcyjnego polecenia np. z powodu ataku na oprogramowanie, błędu w oprogramowaniu itp.

      Natomiast co do sieci to wg. mnie wymogiem powinno być rozdzielenie sieci sterującej samolotem od sieci, nazwijmy rozrywkowej przeznaczonej dla pasażerów. Zresztą tak samo powinno być w samochodzie. Wtedy atak np. na system rozrywki nie wpłynie na bezpieczeństwo samolotu a co najwyżej zepsuje humor pasażerom i technikom z linii lotniczych, którzy będą musieli naprawić taki system. Oczywiście trzeba w takim systemie rozrywki ograniczyć ilość luk, wyrzucić z systemów sterujących tabletami zamontowanymi w fotelach wszelkie zbędne aplikacje itp. Podstawa jest jednak separacja sieci multimedialnej od sieci sterującej samolotem i jak wspomniałem to samo w samochodzie, pociągu, inteligentnym budynku itp.

    • Tymczasem w Polsce co roku tysiące pieszych ginie na drogach i nikt nie zastanawia się jakie systemy zainstalować w samochodach, by tego uniknąć.. :P Tu poniżej 200 osób się rozbija i wszyscy główkują. Nie żeby ich śmierć była nieważna, ale niestety to jest promil..

    • @Paweł Nyczaj,

      Po pierwsze koszt rozwiązania o którym mówisz ukręca sprawie łeb z miejsca. Po drugie skąd ten naiwny pomysł, że tylko software zawiera błędy?

    • @adrb: A stąd,że Row Hammera chyba Paweł przeoczył: https://niebezpiecznik.pl/post/row-hammer-czyli-przelomowy-atak-na-pamiec-ram-prowadzacy-do-przejecie-kontroli-nad-systemem/ a o pozostałych tego typu problemach za mało przeczytał.

      Zresztą to nie koszt sensorów czy sieci sensorowej to problem,a radar czy przetworzenie tego w dość użyteczny model przez odpowiednie układy.Niewątpliwie będzie to konieczne w przyszłych samolotach,ale na razie jest to zbyt kosztowne.

      Po drugie – i tak ignorujecie to co napisałem wyżej. Nie da się wprowadzić tutaj 100% odpornego na różne ataki zabezpieczenia,a sterowanie z ziemi czy przez automat w niczym nie poprawi znacząco sytuacji. Sama koncepcja sterowania z ziemi nie podoba mi się też z prostego względu o nazwie ZAKŁÓCENIA i CZAS REAKCJI – propagacja sygnału nie jest idealna w atmosferze i w każdym miejscu. Pomysły by “poprawić bezpieczeństwo samolotu sterując z ziemi” to typowe dzikie pomysły i tyle. Natura jest dużo częściej bardziej złośliwa od człowieka.A niewłaściwe serwisowanie może być gorsze częściej niż wejście Ahmeda w kamizelce mającego posłać jego i wszystkich na pokładzie “do raju”. Dlatego to odpada.Tu natura i błąd mechanika potrafią narobić szkód większych niż terrorysta który – co by nie mówić – trafia się jednak rzadziej…

      Co do rozdzielenia sieci, to pomysł w sumie oczywisty – tylko że cały numer polega na tym,że to niebezpieczne rozwiązanie stosowane jest po to,by zasoby potrzebne w sytuacji krytycznej “się nie marnowały”. Ekonomia kontra wydajność.Problem w tym,że takich menadżerów i ekonomistów trudno raczej przekonać do wożenia choć kilku kilogramów kabli “na wszelki wypadek”.Tam gdzie każdego grosza się nie liczy (w lotnictwie wojskowym np.) nadmiarowość i większa wydajność jest częściej podstawą.

    • @Paweł Nyczaj

      Podałeś świetny pomysł zapobiegający … możliwości WYLĄDOWANIA samolotu. Wystarczy, że system nie rozpozna lotniska.
      Ludzie wyluzujcie. Ew. polecam pooglądać dla wyczyszczenia mózgu z takich po…nych pomysłów kilka filmów o “zbuntowanych maszynach”. Nie koniecznie Terminatora. Proponuję zacząć od Saturn 3, by efekty specjalne nie przeszkadzały!

  4. Podmienić film wyświetlany na telewizorach na ten który podaliście na końcu + jeszcze ta taka muzyczka z ISIS i obserwować reakcje współpasażerów :D Bezcenne… tylko już nigdy więcej bym pewnie samolotem nigdzie nie poleciał

  5. “Mamy jendak nadzieję, że dzisiejsze samoloty, w przeciwieństwie do niektórych samochodów, są w stanie dalej funkcjonować bez części systemów elektronicznych (zakładając ich paraliż przez udany atak)”

    Według mojej wiedzy nowe samoloty (są wady i zalety) funkcjonują na zasadzie fly-by-wire.
    W “starych” boeningach, chyba jeszcze w 737, gdyby np. hydrailika zawiodła, to dwóch pilotów mogło sobie poradzić. W przypadku A320 (ta sama klasa) to komputer wysyła sygnał, że pilot np. poruszył wolant, ster kierunku etc. Komentarz zbędny. :)

    • dokladnie, fly by wire zalatwia sprawe, ale jak analizowalem awionike Embraera (nie pamietam ktory model) ktory mial juz prawie cale sterowanie poprzez fly by wire to awioniczna siec TCP/IP nie byla bezposrednio podpieta pod te systemy

  6. Problem był by jak by padł wysokościomierz (głównie ten radiowy :D )

  7. Jeste eksperte:
    1. Sieć, która łączy ze sobą awionikę nie jest zwykłą siecią, jest to specjalny protoków ARINC664
    2. Nie można przekonfigurować urządzeń awioniki w locie. Robi to obsługa na ziemi, na dodatek wymagany jest fizyczny dostęp do jednostki, aby ustawić dipswitche tak, aby jednostka weszła w tryb loadera ustawień.

    • aleś ty ekspert

  8. Wrzucilem lekko zmodyfikowany css niebezpiecznika na strone Stylish. Komentarze się teraz scrollują, nie pojawia się niewiadomo jak długa strona, poszerzyłem posty.
    Link:
    https://userstyles.org/styles/112834/niebezpiecznik-scrolluj-ce-komentarze

  9. Instalowanie WiFi na pokładzie przebiega mniej więcej tak:

    https://www.youtube.com/watch?v=OsuvlmDWYuA

    Można też rzucić okiem na wersję tekstową:

    https://hub.united.com/en-us/news/products-services/pages/united-installs-satellite-wi-fi.aspx

  10. co to jest FMS w Boingach???????

  11. Dla informacji – FAA wymaga (być może na podstawie takich raportów?) by sieć awioniki była fizycznie odseparowana. Na dodatek dotyczy to tylko niektórych najnowszych typów, bo we wcześniejszych się to nie zdarzało z powodu olbrzymiej niekompatybilności między siecią awioniki a resztą.

    Do tego niektóre kluczowe systemy mają połączenia jednokierunkowe, z fizycznym odcięciem autopilota jeśli pilot wykona ruchy sterami sprzeczne z autopilotem.

    Coś czuje, ze kolejną prelekcje o bezpieczeństwie awioniki będę musiał wygłosić…

  12. Watpie, ze w samolocie pomiedzy switchami jest nie tagowany vlan a portow fizycznych – rj-45 – jak np. w pociagach to chyba nie ma :)

  13. Mam prośbę, zrobili byście jakieś porównanie programów przechowujących i generujących hasła. Myślę, że nie tylko ja mam problem z tym, który wybrać, a jednak zdecydowanie poprawiają bezpieczeństwo wszystkich kont, generując i pamiętając silne hasła.
    Tylko właśnie trudno zgadywać, któremu można zaufać, czy lepiej coś open source czy nie, który najlepiej chroni hasła itp. itd.

    • Jak pamiętam to zawsze był polecany KeePass.

  14. Zważywszy powagę sytuacji powinni postawić firewall etcetera

  15. […] pokazuje incydent z wtorku, kłopoty wcale nie muszą wynikać z działalności hackerów, czy włamywania się do sieci kontrolnej samolotu przez pokładowe Wi-Fi, czym przerażone ostatnio były […]

  16. […] Wszystko wskazuje na to, że skończyły się błogie czasy producentów samochodów, którzy do tej pory nie musieli przywiązywać wagi do bezpieczeństwa swoich systemów komputerowych, bo były one dostępnie jedynie lokalnie lub ich analiza wymagała stosunkowo wysokiego progu wejściowego. Wraz z podpięciem komputerów samochodowych do internetu powiększyła się powierzchnia ataku, a brak odpowiedniej izolacji systemów multimedialnych od samochodowej sieci kontrolej (CAN) może doprowadzić do tragedii (na marginesie nadmieńmy, że problemy tego typu zidentyfikowano także w samolotach — por. Ataki na samolot przez pokładowe Wi-Fi). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: