空中駭客:你該擔心嗎?
作者:Martin Roesler
在過去幾天裡,資安界一直在討論透過機上娛樂系統(IFE)來入侵商用客機的說法。這件事會被公開是因為媒體揭露聯邦調查局申請對一名研究飛機安全研究員Chris Roberts的搜索令。搜索令上指稱 Roberts可以侵入各種商用客機的IFE系統,並發出他所謂的「CLB」或爬升指令。
整起事件起源於4月15日,Roberts 當天從搭機飛往紐約,一上飛機就在推特(Twitter)推文開玩笑暗示可以駭入機上電腦系統,讓氧氣面罩全數掉落。飛機降落後,Roberts 就遭美國聯邦調查局(FBI)盤問4小時。
以下是其推文內容:
Find myself on a 737/800, lets see Box-IFE-ICE-SATCOM, ? Shall we start playing with EICAS messages? “PASS OXYGEN ON” Anyone ? 🙂
— Chris Roberts (@Sidragon1) 2015 4月 15日
三天後 Roberts準備從科羅拉多州登上聯航班機,不料在登機門遭攔下,還被查封各種電子設備(包括他的iPad、筆記型電腦和各種USB設備)。
Roberts事後接受媒體訪問時聲稱可以在不驚動駕駛艙任何警示燈情況下,在3萬5000英尺高空熄掉發動機。甚至能透過連結座位底下的盒子,查看飛機發動機數據、油料和飛航管理系統。
資安和航空界的反應很快速。有些人認為Roberts的行為並不道德。許多人對於Roberts選擇在真實航班上進行飛機「攻擊」感到不滿。也有很多人對於他所聲稱的真實性感到懷疑,而這是許多航空界人士共同的反應。
我是怎麼想的?我不認為他駭入了飛機的關鍵系統。撇開技術因素不談,他人在飛機上,除非我們認為他是種自殺攻擊駭客,不然他不會希望造成任何實際傷害。
安全研究應該在受控制的環境下進行。我們研究過AIS系統,目前對車載系統展開研究。我們並非從實際運作中的船舶開始研究。關於我們的車輛研究,我們租用汽車並且從停車場開始,逐步地讓環境更接近真實世界。(我們現在正在與那些汽車廠商合作)。在沒有相關團體(如航空公司或其他乘客)的同意下進行任何實際「測試」都並不可取。
當然,有時廠商不會給想與他們合作的研究人員好的反應。當我們進行自己的AIS研究時,我們遭受拒絕,因為趨勢科技並非國家,而該組織只和會員國互動。但我們繼續進行,並且逕行發表了我們的研究,現在組織會採取行動,轉換到加密的AIS以保護自己免於我們所說的威脅。
對此事件的反應讓我們想起在軟體安全的早期,企業不願意承認他們的產品可能包含漏洞,隱蔽真相被視為一種適當的安全防禦。聯邦調查局的反應(終止研究)和飛機/ IFE廠商的反應(拒絕透露細節)都是最自然的反應。增加安全性會造成成本增加,廠商捨不得花錢在他們認為並非絕對必要的事情上。
不管你對Roberts怎麼想,或是他做了什麼、沒做什麼,事實是飛機安全性話題現在被開啟了。就跟其他系統一樣,這系統在某地方存在有臭蟲;沒有一個人造的系統可以完全毫無錯誤。政府和監管機構可以強制廠商(包括飛機和IFE系統)不是用隱蔽真相的方式來確保安全,而是要證明現有系統安全無虞,並修復任何可能存在的漏洞。誰知道呢,也許這系統的確有著強大而安全的設計,可以確保攻擊者無法成功。但除非心態有所轉變,不然我們無法百分百的肯定。
如果你認為這只跟航空業有關,那你就錯了。這只是剛好發生在這一切電腦化最明顯的一面,別人稱其為萬物聯網(IoE ,Internet of Everything)。其他產業很快地就會面對他們自己的挑戰,而我們越快學到如何處理,對大家也就越好。
@原文出處:Mile-High Hacking: Should You Worry?
延伸閱讀:下班後,不能在臉書說的話(多則先烈案例)
更多文章,請至萬物聯網(IoE ,Internet of Everything)入口網站
趨勢科技讓Facebook隱私設定變得更加容易。只需按一下按鈕,趨勢科技PC-cillin雲端版內建的獨家社群隱私安全,可輕鬆檢查您在Facebook、Google+、Twitter及Linkedin上的隱私設定問題,可以幫你確認個人資料是否有任何可能的隱私問題。!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接