Хакер может захватить самолет?
"Вы можете использовать эту систему, чтобы изменить практически любые параметры, которые связаны с навигацией самолета... и вызвать большие неприятности"
Уго Тессо, исследователь по вопросам безопасности из немецкого консультационного агентства N.Runs, утверждает, что может перехватить управление системой навигации самолета с использованием специального приложения для смартфона, радиопередатчика и бортового программного обеспечения, которое он свободно приобрел на аукционе eBay. Выступая на конференции "Hack in the Box", которая недавно прошла в Амстердаме, Тессо одолжил у кого-то из сидящих в переполненном зале обычный смартфон Samsung Galaxy, чтобы продемонстрировать, каким образом он смог бы регулировать курс, высоту и скорость виртуального самолета, посылая ему ложные сигналы и данные навигации.
Приложение для смартфона, которое он разработал, называется PlaneSploit, оно использует систему связи, адресации и отчетов воздушных судов ACARS (Aircraft Communications Addressing and Report System), работа которой основана на коротких сеансах передачи данных между самолетами и спутниками связи. Основная проблема, говорит Тессо, состоит в том, что система ACARS вообще не имеет никакой защиты. Любой человек сможет передать фальшивые данные, чтобы изменить траекторию полета самолета. Самолет не проверяет полученные им навигационные сообщения, возможность анализа этой информации просто не предусмотрена. Таким образом, он принимает любые данные, по умолчанию считая любой источник информации доверенным и легальным. А ведь это весьма серьезная уязвимость, которая чревата катастрофическими последствиями.
Получив управление компьютером самолета, Уго Тессо смог манипулировать системой рулевого управления тренажера лайнера Boeing, пока самолет находился в режиме автопилота. Единственное, что могли бы сделать реальные пилоты в подобной ситуации (при условии, если бы они поняли, что на самом деле лайнером управляют не они, а кто-то другой), - отключить автопилот и перейти на ручное управление. Тем не менее, многие современные самолеты - это уже не старинные машины, созданные для ручного полета. Тессо сказал, что может взять под контроль большинство современных систем управления самолетом, и даже привести к катастрофе лайнера, выведя его на встречный курс с другим самолетом. Также можно дать пассажирам дополнительный заряд адреналина, внезапно сбросив им на колени кислородные маски. Honeywell, одна из аэрокосмических компаний, разработчик системы ACARS, восприняла этот доклад очень серьезно и подтвердила, что ведет переговоры с N.Runs относительно детального анализа проведенных исследований. Тем не менее, пресс-секретарь Honeywell заявил, что возможности Тессо в удаленном захвате самолета сильно преувеличены. Программное обеспечение, которое находится в свободном онлайн-доступе, создано специально для тренажеров и симуляторов, в целях помощи подготовке пилотов, пояснил представитель Honeywell. Иными словами, то, что смог взломать Тессо - это учебная версия системы управления полетом, которая имитирует среду полета, а не сертифицированное программное обеспечение, фактически установленное на самолетах. Тессо говорит, что его фирма уже предупредила Федеральное управление гражданской авиации (FAA) и Европейское управление по безопасности авиации (EASA), и намерена сотрудничать с ними по вопросам устранения потенциальной уязвимости.
Игорь Грень
Уго Тессо, исследователь по вопросам безопасности из немецкого консультационного агентства N.Runs, утверждает, что может перехватить управление системой навигации самолета с использованием специального приложения для смартфона, радиопередатчика и бортового программного обеспечения, которое он свободно приобрел на аукционе eBay. Выступая на конференции "Hack in the Box", которая недавно прошла в Амстердаме, Тессо одолжил у кого-то из сидящих в переполненном зале обычный смартфон Samsung Galaxy, чтобы продемонстрировать, каким образом он смог бы регулировать курс, высоту и скорость виртуального самолета, посылая ему ложные сигналы и данные навигации.
Приложение для смартфона, которое он разработал, называется PlaneSploit, оно использует систему связи, адресации и отчетов воздушных судов ACARS (Aircraft Communications Addressing and Report System), работа которой основана на коротких сеансах передачи данных между самолетами и спутниками связи. Основная проблема, говорит Тессо, состоит в том, что система ACARS вообще не имеет никакой защиты. Любой человек сможет передать фальшивые данные, чтобы изменить траекторию полета самолета. Самолет не проверяет полученные им навигационные сообщения, возможность анализа этой информации просто не предусмотрена. Таким образом, он принимает любые данные, по умолчанию считая любой источник информации доверенным и легальным. А ведь это весьма серьезная уязвимость, которая чревата катастрофическими последствиями.
Получив управление компьютером самолета, Уго Тессо смог манипулировать системой рулевого управления тренажера лайнера Boeing, пока самолет находился в режиме автопилота. Единственное, что могли бы сделать реальные пилоты в подобной ситуации (при условии, если бы они поняли, что на самом деле лайнером управляют не они, а кто-то другой), - отключить автопилот и перейти на ручное управление. Тем не менее, многие современные самолеты - это уже не старинные машины, созданные для ручного полета. Тессо сказал, что может взять под контроль большинство современных систем управления самолетом, и даже привести к катастрофе лайнера, выведя его на встречный курс с другим самолетом. Также можно дать пассажирам дополнительный заряд адреналина, внезапно сбросив им на колени кислородные маски. Honeywell, одна из аэрокосмических компаний, разработчик системы ACARS, восприняла этот доклад очень серьезно и подтвердила, что ведет переговоры с N.Runs относительно детального анализа проведенных исследований. Тем не менее, пресс-секретарь Honeywell заявил, что возможности Тессо в удаленном захвате самолета сильно преувеличены. Программное обеспечение, которое находится в свободном онлайн-доступе, создано специально для тренажеров и симуляторов, в целях помощи подготовке пилотов, пояснил представитель Honeywell. Иными словами, то, что смог взломать Тессо - это учебная версия системы управления полетом, которая имитирует среду полета, а не сертифицированное программное обеспечение, фактически установленное на самолетах. Тессо говорит, что его фирма уже предупредила Федеральное управление гражданской авиации (FAA) и Европейское управление по безопасности авиации (EASA), и намерена сотрудничать с ними по вопросам устранения потенциальной уязвимости.
Игорь Грень
Компьютерная газета. Статья была опубликована в номере 17 за 2013 год в рубрике интернет