Можно ли взломать Боинг 777?

На данный момент ответ на этот вопрос в принципе отсутствует для коммерческих самолетов , по крайней мере, дистанционно. Есть две части к этому:

С точки зрения системы:

• Системы самолета, вероятно, могут быть «взломаны» — предполагая, что вы могли бы, например, испортить летный компьютер, изменив чипы в животе, — но вы не можете действительно вытащить это, если пилоты не заметят, что курс находится далеко от компаса, например, поэтому они выяснят и отключат его. Многие системы не подключены таким образом, что позволяет им наносить ущерб другим. Системы также довольно специализированы — если он должен летать на самолете, это то, что он делает, если он должен перемещаться, это то, что он делает.

• Системы на самолетах, как правило, имеют ограниченную, если таковая имеется, связь с внешним миром. Есть несколько систем, которые имеют возможность подключения к земле, и это, как правило, ограничивается простыми текстовыми сообщениями. Большая часть электроники на 777 от введения типа в 1994. Достойная аналогия, я думаю, пытается взломать ранний сотовый телефон удаленно.

И с практической точки зрения:

• Самолеты, как правило, очень жесткие, когда дело доходит до изменений — они часто утверждаются в определенной конфигурации, а затем прилипают, поэтому нет необходимости менять материал, и, следовательно, это невозможно. Это относится к автопилоту и управлению полетом — Как только он там, он остается там.

• Как отметили некоторые люди, эти системы являются собственностью и закрытым исходным кодом, что затрудняет их Программирование, если вы аутсайдер, но теоретически это возможно.

Тот факт, что ни один самолет, даже компьютерно-интенсивный Airbus, действительно не был взломан в какой-либо степени, представление о том, что весь самолет будет захвачен и куда-то полетит, невозможно.

Что касается исходной ссылки на вопрос:

«FAA определило, что техника взлома, описанная во время недавняя конференция по компьютерной безопасности не представляет безопасности полетов беспокойство, потому что он не работает на сертифицированном летном оборудовании”, — сказал он сказал.

«Описанная техника не может задействовать или управлять самолетом“. система автопилота используя FMS или предотвращает пилота от переопределять автопилот, — сказал Дорр.

«Таким образом, хакер не может получить «полный контроль над самолетом», так как технологический консультант заявил», — сказал Дорр.

По аналогичному согласию, я думаю, что слышал историю о Bombardier Dash 8, который однажды получил компьютерный вирус, но я думаю, что он никогда не выходил за пределы навигационной системы, самой интенсивной обработки. К сожалению, я не могу найти источник для этого.

Есть определенные системы связи, которые теоретически могут быть взломаны. CPDLC используется для цифровой связи между пилотами и контроллерами, поэтому, если он будет взломан, кто-то может отправить инструкции пилоту, который будет выглядеть так, как будто они исходят от контроллера, и пилоты не будут знать разницу.

Планы полетов также могут быть загружены в систему управления полетами в некоторых случаях и могут быть использованы для программирования другого маршрута.

Однако следует иметь в виду, что пилоты по-прежнему тесно связаны. Они видят и одобряют все изменения. Незначительные изменения могут остаться незамеченными, но если им дать указание лететь в совершенно другом направлении или в другое место назначения, они, вероятно, начнут задавать вопросы. Если бы их послали прямо к горе или другому самолету, они, вероятно, заметили бы или другие системы безопасности вмешались, чтобы предупредить их.

Даже в» худшем случае», когда кто-то смог перепрограммировать автопилот (я не верю, что это возможно прямо сейчас), пилот всегда может просто отключить его и летать вручную.

Короче говоря, об этом не стоит беспокоиться.

Все возможно. Например, АНБ могло заставить производителя включить в систему бэкдор для их использования.

У «взлома» есть множество определений, от чтения частных данных от некритической системы до нарушения или путаницы в режиме авионики, до контроля над самолетом и блокировки пилотов. Это усложняет понимание того, насколько вероятны «взломы» самолетов.

В целом, недавний консенсус, по-видимому , заключается в том, что в некоторых определениях «взлома» это, безусловно, возможно, даже без знания инсайдеров. Есть некоторые сообщения об успешных взломах, хотя, поскольку детали конфиденциальны, трудно сказать, что сделали исследователи или их метод атаки. И исследователи, и производители самолетов, похоже, согласны с тем, что даже с инсайдерскими знаниями или длительным доступом к самолету было бы чрезвычайно сложно, но не невозможно, взять под контроль самолет более чем на несколько секунд.

Текущее руководство по политике FAA можно найти в PS-AIR-21.16-02 . Я слышал, что FAA в конечном итоге признает DO-326 как средство соблюдения.

Я собираюсь предоставить некоторую информацию о мерах безопасности и целостности, которые являются стандартными в отрасли и затрудняют взлом авионики. В частности, взлом авионики является одним из видов взлома встроенных устройств, критически важных для безопасности, а не сервера или персонального компьютера. Безопасность критические врезанные приборы имеют гораздо малую поверхность нападения и еще многие методов уменьшения в месте, как конспектировано ниже.

Модель угроз и отличия от компьютеров

Угрозы, с которыми вы сталкиваетесь на самолетах, сильно отличаются от серверов и ноутбуков. Персональные компьютеры созрели для вирусов, потому что они используют много опасно гибких методов. Они выполняют произвольный код. У них есть программное обеспечение, которое реконфигурирует себя. Они принимают текст и даже команды из непроверенных источников. Большинство из них неверны для авионики, поэтому трудно указать модель угрозы.

Особенно для наиболее важных систем, таких как дисплеи и автопилоты, типы данных строги, обмен сообщениями запланирован, время обработки ограничено, а строки редко используются. Для выполнения большинства задач необходимо нарушить эти протоколы. Это похоже на другие виды встроенного программирования, где программное обеспечение настолько негибко, что поверхность атаки мала.

Некоторые вещи, которые определенно помогают злоумышленникам здесь, включают физический доступ к процессу обновления программного обеспечения, возможность работать с самолетом в течение нескольких дней, инсайдерские знания, простое радиочастотное оборудование или возможность захвата спутниковой связи с самолетом. Если у вашего злоумышленника есть некоторые из них, угроза намного серьезнее.

Доступность

Можно ли возиться с наличием авиационных систем? Да, если вы можете управлять правильными сигналами. Вы могли бы, например, заставить компьютер управления полетом думать, что датчик испортился. Вы могли бы сбросить много датчиков с достаточно мощными радиосигналами. Кроме того, большинство летных компьютеров используют готовые процессоры с множеством странных поведений, и особенно, если эксплойт позволяет выполнять произвольный код сборки, вы можете использовать некоторые из них, чтобы отключить систему авионики.

Однако доступность не так важна, как целостность авионики. Большинство людей не ложатся спать по ночам, беспокоясь о том, что их пилот должен летать вручную из-за хакера. Большинство людей действительно обеспокоены тем, что хакер полностью контролирует самолет.

Разбиение

Различные функции, особенно те на различных уровнях безопасности, регулировкой изолированы друг от друга. У самолета исторически было специальное оборудование для каждого компонента, как один компьютер для автопилота, другой компьютер для системы предупреждения, другой компьютер для обработки данных. В настоящее время большая часть этого программного обеспечения выполняется на общих компьютерах LRU (это называется архитектурой IMA). Но, несмотря на совместное использование аппаратных средств, программные процессы строго изолированы друг от друга и предполагается, что нет сбоев процессора, ошибок, переполнений и т.д. может переходить от одного процесса к другому, особенно на более высоком уровне. Да, сигналы проходят между разделами, но все сигналы проходя от более низкого уровня безопасности к более высокому уровню индивидуально оправданы для того чтобы обеспечить что они не причинят вопросы безопасности.

Для того, чтобы эксплойт имел катастрофический эффект, он должен был бы обойти их либо 1) работать непосредственно с аппаратными средствами и процессами уровня а 2) найти плохое предположение о влиянии сигнала более низкого уровня.

Дополнительные сведения об этом разделе см. В разделах DO-297 и DO-178C.

Тестирование

Многие взломы в персональных компьютерах происходят из-за неадекватного тестирования, которое позволяет исключения и ошибки в системе. Уровень программное обеспечение тестируется гораздо более всесторонне, чем большинство приложений или программного обеспечения для ПК. Каждая строка тестируется на покрытие MC-DC (не исчерпывающее, но каждое решение должно выполняться как истинное, так и ложное). Структурное покрытие также оценивается, чтобы убедиться, что непреднамеренные взаимодействия не происходят. Если ошибки происходят, то RTOS конструировано для того чтобы позаботиться о эти недостатки предсказуемо и надежно.

Обновление программного обеспечения

Хорошо, скажем, вы не можете найти способ выполнить произвольный код, можете ли вы испортить процесс обновления программного обеспечения? Это изначально кажется жизнеспособным, особенно учитывая новую тенденцию к обновлению прошивки авионики по сетям. Здесь есть несколько вопросов.

• Большинство самолетов не подключены напрямую к интернету для обновления авионики. Они подключены к локальной сети, которая получает последнее программное обеспечение из интернета. Таким образом, вам нужно будет получить доступ к локальной сети для обновлений, а затем также получить доступ к самолетам, использующим эту сеть. Этот дополнительный слой обеспечивает некоторое смягчение.
• Большинство обновлений программного обеспечения используют высокоточную проверку целостности, для которой вам понадобится невероятно сложное столкновение хэшей. Некоторые процессы обновления не имеют проверки высокой точности, но если это так, то они должны иметь полномочия, чтобы их процесс обновления был стабильным и защищенным от ошибок. Таким образом, ваш единственный вариант-подделать CRC, а также для обновления и/или найти эксплойт в квалифицированном процессе загрузки.
• Сетевые обновления также отслеживают номера версий и могут отслеживать проверки целостности программного обеспечения. Таким образом, вы не можете точно принудительно обновить версию 13 до взломанного V.13.1 без чьего-либо уведомления.
• В настоящее время атаки цепочки поставок становятся все более частыми. Хотя я уверен, что атака цепочки поставок может быть осуществима, такие правила, как Do-330 Tool qualification и DO-178 configuration control, уже много лет защищены от непреднамеренных изменений во время сборки программного обеспечения. Проверенные и проверенные версии кода находятся под тщательным контролем и сравниваются с окончательными версиями, среды сборки программного обеспечения блокируются и квалифицируются, а списки включенных библиотек документируются и утверждаются. Вам нужно будет найти слепое пятно в этих процессах, чтобы атаковать цепочку поставок программного обеспечения.
• Обновления программного обеспечения (не навигационные обновления базы данных) выполняются нечасто, возможно, раз в три года, если это значительно уменьшает возможность взломать загрузку программного обеспечения. Блокировки на месте для предотвращения перезагрузки программного обеспечения, когда это не требуется. Эта редкость также приводит к более тщательному изучению всего процесса.

Для более подробного анализа мер безопасности, чтобы предотвратить загрузку поврежденного программного обеспечения или баз данных, я предлагаю вам ознакомиться со стандартами для этого процесса: DO-200A, Глава 5 FAA Order 8110.49 и FAA AC 20-153.

Ручное и автоматическое отключение

Обычно автопилотом и другим программным обеспечением управляет другая система, которая имеет логику блокировки и отключения. У них есть стандарты безопасности и тесты, написанные, чтобы убедиться, что они работают надежно, что затрудняет поиск эксплойта здесь, скажем, без возможности выполнения произвольного кода.

Даже если это программное обеспечение разъединения не работает, пилоты имеют автоматические выключатели и могут отключить всю систему бортового радиоэлектронного оборудования, а затем управлять самолетом вручную. См. ответ BigHomie для обсуждения того, насколько это возможно, чтобы взломать это.

Теоретически это должно сработать, но в определенных ситуациях самолет может оказаться в небезопасной ситуации до того, как пилот сможет восстановить управление. Внезапный шаг вниз при приближении будет трудно восстановить, даже если вы можете вручную отключить автопилот.

Примечание: Я не эксперт в области авионики или безопасности встроенных устройств. Взлом, как правило, заключается в нестандартном мышлении, поэтому дайте мне знать, если что-то, что я предполагаю здесь, неточно или если я что-то пропустил.

Любой компьютер может быть взломан. Я не говорю, что у меня есть знания, чтобы сделать это, или даже много знаю о самолетах, чтобы рассказать вам, как это сделать. Однако, если кто-то с необходимыми знаниями имел надлежащее время, мотивацию и доступ к самолету, это определенно можно было сделать. Если вы спрашиваете, Может ли самолет быть взят с земли в полете без каких-либо предварительных изменений, я не могу ответить, потому что я недостаточно знаю о системе.

Теоретически обсуждение того, как взломать самолет в середине полета, с или без предварительных изменений, вероятно, заставит меня пометить и поместить в список где-то, поэтому я отказываюсь вдаваться в подробности.

Однако нужно подумать о том, какие беспроводные протоколы используются для того, чтобы самолет говорил с землей, какие компьютерные подсистемы могут получить доступ к той физической связи, и могут ли эти подсистемы управлять самолетом или получить доступ к другим подсистемам, которые могут управлять самолетом.

«Блокировка пилота», вероятно, включает в себя отключение ручного переключателя где-то, сложно сделать с помощью компьютера, но это может быть сделано, учитывая, что достаточная сила тока была передана через переключатель, чтобы взорвать его, или если он был сфальсифицирован перед рукой (предыдущая модификация).

Если мы говорим, как, это эпизод Numb3rs с аналогичной темой, однако это не будет далеко от того, что должно было бы иметь место в реальной жизни.