USA udsender hackingsikkerhedsalarm til små fly

Department of Homeland Security udsendte en sikkerhedsadvarsel tirsdag for små fly, advarsel om, at moderne flyvesystemer er sårbare over for hacking, hvis nogen formår at få fysisk adgang til flyet.

En advarsel fra DHS's kritiske infrastruktur-computerberedskabsteam anbefaler, at flyejere sikrer, at de begrænser uautoriseret fysisk adgang til deres fly, indtil industrien udvikler sikkerhedsforanstaltninger for at løse problemet. som blev opdaget af et Boston-baseret cybersikkerhedsfirma og rapporteret til den føderale regering.

De fleste lufthavne har sikkerhed på plads for at begrænse uautoriseret adgang, og der er ingen beviser for, at nogen har udnyttet sårbarheden. Men en DHS -embedsmand fortalte The Associated Press, at agenturet uafhængigt bekræftede sikkerhedsfejlen med eksterne partnere og et nationalt forskningslaboratorium, og besluttede, at det var nødvendigt at udstede advarslen.

Cybersikkerhedsfirmaet, Rapid7, fandt ud af, at en angriber potentielt kunne forstyrre elektroniske meddelelser, der blev sendt over et lille flys netværk, for eksempel ved at tilslutte en lille enhed til dens ledninger, der ville påvirke flysystemer.

Motoraflæsninger, kompas data, højde og andre aflæsninger "kunne alle manipuleres til at give piloten falske målinger, " ifølge DHS alarm.

Advarslen afspejler det faktum, at flysystemer i stigende grad er afhængige af netværksforbundne kommunikationssystemer, meget som moderne biler. Bilindustrien har allerede taget skridt til at løse lignende bekymringer, efter at forskere afslørede sårbarheder.

Rapid7-rapporten fokuserede kun på små fly, fordi deres systemer er nemmere for forskere at anskaffe. Store fly bruger ofte mere komplekse systemer og skal opfylde yderligere sikkerhedskrav. DHS-advarslen gælder ikke for ældre småfly med mekaniske styresystemer.

Men Patrick Kiley, Rapid7's ledende forsker i spørgsmålet, sagde, at en angriber kunne udnytte sårbarheden med adgang til et fly eller ved at omgå lufthavnssikkerheden.

"En person med fem minutter og et sæt låsehakker kan få adgang (eller) der er let adgang gennem motorrummet, " sagde Kiley.

Jeffrey Troy, formand for Aviation Information Sharing and Analysis Center, en brancheorganisation for information om cybersikkerhed, sagde, at der er behov for at forbedre sikkerheden i netværksopererede systemer, men understregede, at hacket afhænger af at omgå fysiske sikkerhedskontroller, der er påbudt ved lov.

Med adgang, "du har hundredvis af muligheder for at forstyrre ethvert system eller en del af et fly, " sagde Troy.

Federal Aviation Administration sagde i en erklæring, at et scenario, hvor nogen har ubegrænset fysisk adgang, er usandsynligt, men rapporten er også "en vigtig påmindelse om at være årvågen" om fysiske og cybersikkerhedsflyprocedurer.

Luftfarts cybersikkerhed har været et spørgsmål af stigende bekymring rundt om i verden.

I marts, den amerikanske inspektions generals inspektør fandt ud af, at FAA "ikke havde afsluttet en omfattende, strategiske politiske rammer for at identificere og afbøde cybersikkerhedsrisici." FAA accepterede og sagde, at det ville se ud til at have en plan på plads inden udgangen af ​​september.

FN's organ for luftfart foreslog sin første strategi for sikring af civil luftfart fra hackere, der forventes at gå for generalforsamlingen i september, sagde Pete Cooper, en tidligere Royal Air Force hurtigflyverpilot og cyberoperationsofficer, der rådgiver luftfartsindustrien.

Rapporten om afsløring af sårbarhed er et produkt af næsten to års arbejde fra Rapid7. Efter at deres forskere havde vurderet fejlen, virksomheden advarede DHS. Tirsdagens DHS-alarm anbefaler producenter at gennemgå, hvordan de implementerer disse åbne elektroniksystemer kendt som "CAN-bussen" for at begrænse en hackers evne til at udføre et sådant angreb.

CAN-bussen fungerer som et lille flys centralnervesystem. Hvis den målrettes mod det, kan en angriber snigende kapre en pilots instrumentaflæsning eller endda tage kontrol over flyet, ifølge Rapid7-rapporten indhentet af AP.

"CAN bus er fuldstændig usikker, " sagde Chris King, en cybersikkerhedsekspert, der har arbejdet med sårbarhedsanalyse af store systemer. "Det var aldrig designet til at være i et modstridende miljø, (så der er) ingen validering "af, at det, systemet bliver bedt om at gøre, kommer fra en legitim kilde.

For kun få år siden, de fleste bilproducenter brugte det åbne CAN-bussystem i deres biler. Men efter at forskere offentligt havde demonstreret, hvordan de kunne blive hacket, bilproducenter tilføjet sikkerhedslag, som at sætte kritiske funktioner på separate netværk, der er sværere at få adgang til eksternt.

Videregivelsen fremhæver spørgsmål i bil- og luftfartsindustrien om, hvorvidt en softwaresårbarhed skal behandles som en sikkerhedsfejl - med potentiale for dyre tilbagekaldelser fra producenter og underforstået ansvar - og hvilket ansvar producenterne skal have for at sikre, at deres produkter hærdes mod sådanne angreb. Sårbarheden fremhæver også den virkelighed, at det bliver stadig sværere at adskille cybersikkerhed fra sikkerhed generelt.

"Mange luftfartsfolk ser ikke overlapningen mellem informationssikkerhed, cybersikkerhed, af et fly, og sikkerhed, " sagde Beau Woods, en innovationsfælle i cybersikkerhed med Atlantic Council, en tænketank i Washington. "De ser dem som forskellige ting."

CAN-bus-netværksordningen blev udviklet i 1980'erne og er ekstremt populær til brug i både, droner, rumfartøj, fly og biler – alle områder, hvor der er mere støjinterferens, og det er en fordel at have færre ledninger. Det bruges faktisk i stigende grad i fly i dag på grund af letheden og omkostningerne ved implementering, sagde Kiley.

I betragtning af at flyvemaskiner har en længere produktionscyklus, "Det, vi forsøger at gøre, er at komme ud foran det her."

Rapporten navngav ikke de leverandører, Rapid7 testede, men virksomheden advarede dem for over et år siden, står der i rapporten.

© 2019 The Associated Press. Alle rettigheder forbeholdes.