灾难预防需更严格的管控和政府的有效作为。
美国联邦航空管理局称现代飞机不受网络罪犯威胁。主流飞机制造商也这么说。但美国国土安全部(DHS)和能源部表示:“别这么快下结论。” 一些颇有影响力的政治人物和航空航天业专家也表达过对航空器网络安全的担忧。
远程侵入飞机网络并非不可能。
最难以理解的是,不是没有策略、过程和工具来缓解该风险。但这些保命的改变却发生得太慢,且广泛的技术人才缺乏进一步阻止了这种安全改善的实现。
《主板》杂志在2018年6月报道称,美国政府研究人员认为飞机网络安全事件的发生只是时间问题。DHS依《信息自由法案》的要求公布的文档显示,政府官员觉得今天仍在使用的飞机缺乏足够的网络安全防护——如果它们真的有防护措施的话。
这种担忧已存在了一段时间。去年11月,美国哥伦比亚广播公司(CBS)新闻台报道,网络安全专家在2016年9月与DHS合作,仅用2天时间就通过无线电通信远程黑进亚特兰大市国际机场的一架波音757飞机。
执行攻击的是国土安全部科学与技术局网络安全分部的航空项目经理 Robert Hickey。
我没让人碰那飞机,没动内部人威胁的念头,没用常见的安全突破工具,但仍能在该飞机的系统上露脸。基于飞机无线电频率设置的方法,你能很快弄清我们做到哪一步了。
关于该攻击的几点说明:
757于1984年投入航空运营,但其停产也将近15年了。不过仍有航空公司还在运营这种窄体双发动机机型。
757的联网程度远不及现代主流飞机。
757的软件部件很少,现代电子化飞机则有数百个可无线加载的软件部件。
757只有几个潜在入口点,现代飞机则有几十个入口点。也就是说,攻击757相当于在1985年版的福特护卫者上做测试而不是在 2018 特斯拉 Model S 上做。
特朗普的私人飞机就是架757,副总统官方座驾空军二号是波音C-32——757的美国空军运输机版。
对于此次攻击,波音公司发布了长篇声明,提到:波音对自身飞机的网络安全措施有自信。波音的网络安全措施达到过超过了所有适用的监管标准。
2015年,美国审计总署(GAO)称,联邦航空管理局(FAA)需采取更全面深入的方法处理网络安全问题。同年,FAA成立航空规则咨询委员会,提供飞机系统信息安全方面的行业建议。然而,这些行业建议并未被实施。
解决问题
想要解决飞机系统信息安全问题,行业规定就得要求更新网络安全策略和协议,包括强制由独立航空业专家进行渗透测试,测试过程和结果不受飞机制造商、供应商、服务提供商和飞机运营者的影响。不过,很多号称是航空专业人士的人都不具备必要的经验。这一点需要特别注意。
DHS专家执行的波音757攻击基本上就属于渗透测试的范围。渗透测试就是对计算机系统进行的模拟攻击,用来暴露出系统的漏洞和优势的。渗透测试是缓解风险的众多方法之一,当前及新兴网络威胁需要更多受过训练的航空及网络专业人员加以处理。
不幸的是,渗透测试技术人才缺口确实存在。SecureAuth最近对IT决策者所做的问卷调查显示,仅43%的公司企业觉得自己拥有能够应付渗透测试工作量的人手。而当航空专业知识也添加到技术集一侧时,人才缺口就变得更大了。
很明显,该问题需要网络安全和航空业领袖共同解决。FAA 2018 《再授权法案》纳入了网络安全方面的内容。但培训和教育仍需加强,还需要重视防止恶意黑客将飞机用作潜在武器。
至于政府监管,美国国会在911事件17周年纪念时表示,新泽西国会女议员 Bonnie Watson Coleman 及其同事正在编撰一部将增强美国运输安全管理局基本网络安全标准的法案。
对飞机的远程网络攻击威胁绝非虚言,新形式的911随时可能袭来。
美国国土安全部航空业网络安全文档:
https://www.documentcloud.org/documents/4495659-DHS-Document-Release-on-Aviation-Cybersecurity.html
SecureAuth渗透测试技术人才缺口报告:
https://www.secureauth.com/resources/penetration-testing-mini-report
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。