失控:一張3.5寸軟盤暴露民航業網絡安全危機
責編:gltian |2020-08-14 13:33:24近日在DEF CON28黑客大會的一次視頻采訪中,Pen Test Partners的研究人員透露波音747-400飛機居然仍在使用3.5英寸軟盤來更新重要的導航數據庫(更新周期為28天)。事實上,很多飛機都在使用古董級的3.5英寸軟盤,例如波音737飛機多年來也使用軟盤加載航空電子設備軟件。根據《今日航空》2015年的一份報告,這些軟盤上的數據庫越來越大。
波音747的軟盤驅動器
作為全球化、信息化和現代化的標志性行業,航空業的大型商用飛行器依然使用3.5英寸軟盤更新關鍵數據這件事不但讓安全人士無語,甚至廣大民眾也為之肝顫。要知道連“食古不化”的美國國防部都已經在去年退役了存儲發射核彈指令的軟盤,即便這些軟盤從未在“生產環境”中使用過。
近年來,隨著航空業數字化的深入,航空軟件和網絡安全已不僅是安全極客的炫技場,甚至也不僅是一個行業的“技術債”問題,而是關系到每個人生命安全的“生死簿”。
我們先簡要回顧下近來拉響航空業安全警報的事件:
· 2019年7月,DHS/CISA發布了關于CAN總線網絡實施不安全的警告,該協議允許飛機,汽車和其他機器內的各種設備相互通信。該漏洞可能允許不良行為者向飛機注入虛假數據。據CISA稱,通過物理上接入CAN總線系統,對手可以改變許多飛機的測量數據,包括發動機遙測讀數、指南針和姿態數據、高度和空速。
· 2019年波音公司剛剛復產的737 Max飛機因軟件故障導致兩次致命的墜毀,共造成346名乘客和機組人員死亡。一年后的今天,在因兩起空難而在全球范圍內停飛一年多后,737 MAX重新認證的進程仍懸而未決。據路透社報道,2020年8月11日公布的月度數據顯示,波音公司的客戶今年取消了超400架737 MAX飛機訂單,而該公司的飛機總交付量在7月份下降到只有4架。
· 2020年7月,航空業的供應商之一,Garmin公司因勒索軟件導致消費類產品和商用航空產品——Garmin Pilot、Connext和FlyGarmin業務癱瘓,其中Garmin Pilot應用負責向飛行員提供飛行計劃存檔、賬戶同步和數據庫功能,而Connext則提供駕駛艙服務與天氣、未知報告以及飛機上的中央維護計算機(CMC)的數據。
· 2019年,一位網絡安全教授在英國航空公司的航班IFE機載娛樂系統中發現了緩沖溢出漏洞(CVE-2019-9109)。該教授用USB鼠標將長字符串文本輸入到機上聊天應用程序,導致整個機上娛樂系統崩潰。這種在飛行航班上的滲透測試引起極大爭議,同時也證明了航班網絡安全問題的真實性和危險性。
· 2020年8月,DEF CON28上網絡安全人士透露,由于受疫情影響英國航空公司準備退役一支機隊,網絡安全人士首次獲準進入波音747客機內部進行信息安全檢查和測試。PTP也首次向網絡安全界公布波音747內部乘客甲板下方的全部航空電子設備艙,以及數據中心式的,模塊化的飛行控制模塊。此次調查發現波音747仍然在使用3.5英寸軟盤更新重要的導航數據庫。
事實上,航空網絡安全問題的嚴重性遠遠超出人們的預期。在安全牛年初的報道《航空業的安全噩夢:走進波音公司的濕暗后廚》一文中,安全研究員克里斯·庫貝克 (Chris Kubecka) 在2019年底倫敦舉行的航空網絡安全會議上,披露了波音公司網絡安全的“臟亂差”:
測試開發網絡公然裸奔、郵件服務器塞滿忙碌的惡意軟件、官網門戶大開(沒有啟用 HTTPS)、發現漏洞的白帽子遭到恐嚇威脅…任何一位航空公司信息主管百忙中抽空瞥一眼波音公司的安全后廚,一定會惡心得好幾天吃不下飯。
航空網絡安全態勢:失控的數字化攻擊面
不僅僅是波音公司及其客機產品,更大的威脅來自網絡和新興技術。民用航空主要依靠網絡技術來提高航空運輸的安全性和效率。隨著航空業數字化的日益發展,系統的互聯性和對技術的依賴導致了新風險的出現。航空業所依賴的計算機網絡系統包括空中導航系統、機載飛機控制和通信系統、機場地面系統、飛行信息系統、安全檢查以及許多其他日常使用的技術,涵蓋幾乎所有航空領域。
隨著機器學習和5G等新興技術的廣泛采用,包括垂直電動起降(eVTOL)和自動駕駛飛機,使得航空網絡安全風險管理變得越來越復雜,以至于既難以管理風險,甚至無法深入了解風險。這種態勢將意味著攻擊者和被攻擊者(航空業企業)數量將快速增長。
攻擊面的增加會威脅到航空部門的所有組成部分:機場、航空公司、空中交通管制(ATC)中心、供應商甚至乘客。
當下的航空安全狀況有多么糟糕?ImmuniWeb年初曾發布過一個針對全球大型機場的網絡安全、合規性和隱私的研究。結果顯示:
全球100個最大的機場中有97個存在與易受攻擊的Web和移動應用程序、公共云配置錯誤、暗網暴露或代碼庫泄漏有關的安全風險。
僅有三家機場順利通過所有安全測試,沒有重大網絡安全問題:
· 阿姆斯特丹史基浦機場(歐盟)
· 芬蘭赫爾辛基-萬塔機場(歐盟)
· 愛爾蘭都柏林機場(歐盟)
絕大多數機場的官方網站存在以下問題:
主網站安全:
· 97%的網站包含過時的Web軟件
· 24%的網站包含已知和可利用的漏洞
· 76%和73%的網站分別不符合GDPR和PCI DSS
· 24%的網站沒有SSL加密或使用過時的SSLv3
· 55%的網站不受WAF保護
移動應用程序安全性:
· 100%的移動應用包含至少5個外部軟件框架
· 100%的移動應用至少包含2個漏洞
· 每個應用平均檢測到15個安全或隱私問題
· 33.7%的移動應用傳出流量沒有加密
暗網曝光、代碼存儲庫和云:
· 66%的機場暴露在黑暗網絡上
· 325次風險敞口中,有72起存在嚴重或高風險,表明存在嚴重違規
· 87%的機場在公共代碼存儲庫中數據泄漏
· 3184次泄漏中,有503次存在嚴重或高風險,可能導致違規
· 3%的機場具有未受保護的公共云和敏感數據
此外,對36個機場官方手機APP的測試發現,100%的機場APP都包含漏洞,每個APP平均檢測到15個安全或隱私問題。
糟糕的網絡安全現狀必然會招致懲罰,近年來全球機場網絡安全事件層出不窮,例如布里斯托爾機場遭受勒索軟件攻擊,黑客竊取了建筑計劃和敏感的安全協議,波蘭華沙機場遭遇DDoS攻擊,上千名旅客滯留;歐洲一些機場甚至在登機口顯示器上公開泄露預訂系統中的乘客隱私數據(此漏洞被賽門鐵克安全人員發現并已修復)。
根據EUROCONTROL于2019年發布的航空業網絡安全調查,對許多空中交通管理系統進行的滲透測試結果顯示,大多數系統都非常脆弱。EUROCONTROL在調查報告中指出:航空業的高級管理人員,技術人員和系統設計師需要擺脫這樣的幻想,即他們的系統可以在網絡攻擊中幸存下來,因為過去“什么都沒有發生”。
EUROCONTROL文件總結說:“現在的挑戰在于使航空系統/服務逐漸變得越來越具有網絡韌性,同時保持安全性和成本效益。”
提高網絡韌性的五大挑戰
航空業的一個關鍵特征是各個部門(機場、空中航行服務、航空公司等)之間的高度相互依賴性,以及與相關系統(維護服務、網絡連接服務、燃料分配系統等)的互連性。在此價值鏈中任何一點的安全事件都可能在其他領域造成嚴重后果。
在2020年年會期間,世界經濟論壇(WEF)敦促航空業重視新興網絡安全挑戰,正如其在“提高航空業的網絡彈性:行業分析”報告中所述:航空業可能會遇到與其他行業一樣的網絡風險,這些風險是與新的數字化和連通性息息相關的。
國際航空運輸協會(IATA)指出:
技術和數字化不僅帶來許多優勢,而且還帶來了在復雜的國際運營中(從機場、飛機運營商、空中交通管理和供應鏈)發現和管理網絡漏洞的挑戰所帶來的風險。
這種復雜性使航空業容易受到不斷增長的網絡風險和威脅影響。根據大西洋理事會的最新報告,對于許多網絡威脅行為者來說,航空業是一個有吸引力的目標,其動機多種多樣,從經濟利益到破壞,傷害以及與人為錯誤有關的無意動機。
由于其復雜性,對航空部門的網絡攻擊可能更難以檢測和控制,并可能產生級聯效應,從而導致經濟損失,工業中斷,并在某些情況下造成人員傷亡。如果沒有足夠的網絡安全性和應變措施以及能力,此類網絡攻擊的影響可能會很嚴重。
大西洋理事會去年底發布的航空網絡安全報告指出,航空網絡安全風險管理面臨以下極大迫切需要解決的五大挑戰:
首先,航空網絡安全的“內生化”。如何將航空網絡安全集成到飛行安全、安全(Safty)和企業IT中,同時所有這些都受到完善的治理和問責框架的約束。
航空供應商和客戶的第三方網絡安全問題。根據大西洋理事會的說法,許多供應商發現很難將最佳實踐融入采購中。在就適當的網絡安全風險管理和透明度達成共識方面也存在困難。
信息共享不暢。管理航空網絡安全的前提是對風險的清晰明確的了解。信息共享需要航空利益相關者之間達成協議來確定航空網絡安全風險,同時第三方威脅信息提供服務也有待發展。
安全培訓缺失。盡管多年來航空業通過其設計和培訓實踐來嚴格地預測,減輕或客觀地調查故障和事故,但是將網絡安全納入航空業的文化仍然是一個挑戰。識別或管理航空網絡安全事件的培訓非常少(針對飛行員、空中交通管制員等)。
無法抵御大規模破壞性攻擊。盡管航空運營具有內在的安全韌性,但大規模破壞性攻擊將難以管理。對數據完整性的攻擊將破壞航空公司的安全運營。
航空業的網絡安全策略與標準密集出臺
航空網絡安全建設應在全球范圍內協調開展。但是隨著國家,地區和組織機構為改善航空網絡安全性而進行的努力不同法規和最佳實踐范圍導致復雜性增加的風險越來越大。因此,任何新的標準體系都必須在復雜的全球供應和運營鏈中得到統一。
國際民航組織(ICAO)從能力建設的角度提出一個口號“一個(國家)都不能掉隊”。國際民航組織大會第四十屆會議于2019年10月首次通過了一項與航空有關的網絡安全戰略,闡明了以下愿景:
國際民航組織對全球航空網絡安全的愿景是,民航部門能夠抵御網絡攻擊,并在全球范圍內保持安全和值得信賴,同時繼續進行創新和發展。
國際民航組織的遠景點出了民航業面臨的主要安全挑戰:網絡安全能力與飛行安全、業務增長和創新同等重要。
國際民航組織發布的《航空網絡安全戰略》是建立全球一致性的航空業安全體系的第一步。此外,英國航空網絡安全戰略以及《歐洲航空網絡安全戰略協調平臺戰略》的發布也標志著區域航空市場在加強網絡安全建設方面也邁出了重要的第一步。
從航空網絡安全標準的角度來看,歐洲航空安全局(EASA)和美國FAA近年來都在積極推進。自2019年底以來,飛機、航空系統、發動機等能夠獲得適航性認證的唯一方法是遵守最近更新的DO-326和ED-202。這些新法規在管理網絡安全風險的方法上要更加詳細和全面。
此外,美國國土安全部(DHS)與美國空軍(USAF)合作的一項新計劃將加強對飛機網絡安全性的審查。在《美國國家航空安全戰略》發布后,由CISA、國防部和美國運輸部共同主持的航空網絡安全倡議(ACI)旨在“降低網絡安全風險并提高網絡韌性,支持對飛機進行脆弱性評估,以更好地了解和減輕風險,從而實現“國家航空生態系統的網絡安全,物理安全和高效運行”。
未來之路
隨著國際民航組織《網絡安全戰略》的發布,人們現在對航空網絡安全如何在全球范圍內發展有了戰略性的認識和框架指引。全球的航空業都應該意識到,只有對航空網絡安全的認知、理解和管理達成共識和統一,才能為航空網絡安全風險管理帶來迅速的,全球一致的,有效的變革。這有賴于所有航空利益相關者(包括國家、國際機構、監管機構、制造商和服務提供商)齊心協力,支持新的國際民航組織網絡安全戰略。該戰略的目標包含七個支柱性框架:
1.國際合作
2.管治
3.有效的法律法規
4.網絡安全政策
5.信息共享
6.事件管理和應急計劃
7.安全能力建設,培訓和網絡安全文化
航空對網絡安全風險的洞察以及全球管理仍然面臨重大挑戰。應對這些網絡安全挑戰所需的文化變革需要強大的領導力和時間。航空業必須采取措施以加速這一改進過程,增加透明度和信任度,并提高網絡安全的協作性。
總之,作為一個高度全球化的產業,航空業的網絡安全沒有單點解決方案,降低全球性系統性風險需要所有利益相關者之間積極合作才能達成。