Войната на Boеing с експертите по сигурност
Според нови разкрития, има най-малко теоретична възможност хакери да нахлуят в сериозни системи, свързани със сигурността, само че компанията отхвърля сходна опция
Две съдбовни произшествия с Boeing, породени от софтуерна неточност, лишиха 346 живота (снимка: CCO Public Domain)
Експерти по осведомителна сигурност и Boeing не престават да спорят дали самолетите на компанията са уязвими на хакерски офанзиви. Според експерти, възмож само че е навлизане в съставените елементи на бордовата система на Boeing 787 Dreamliner . Те настояват, че има най-малко теоретична възможност хакери да нахлуят в сериозни системи, свързани с ъс сигурността, само че Boeing изрично от хвърля сходна опция, макар че някои въпроси остават о творени.
През септември 2018 година испанският специалист по осведомителна сигурност Рубен Сантамарта, чиновник на IOActive, откри обществен сървър, обвързван с ресурсите на Boeing, напомня Wired. В него е имало голям брой документи с програмен код, предопределен за потребление в бордовите системи на Boeing 737 и Boeing 787. Естествено, Сантамарта изтегля всичко, което може, оттова.
Година по-късно Сантамарта твърди, че е разкрил уязвимости в кода на Boeing 787. Става въпрос за избран съставен елемент, ситуиран „ надълбоко в многокомпонентната бордова мрежа ” на авиолайнера.
Низ от бъгове
„ Грешката ”, или по-скоро цялостен низ от такива, се съдържа в Crew Information Service/Maintenance System (CIS/MS) – система, която дава отговор за приложенията, свързани с поддръжката, а също по този начин съдържа в електронна форма всички типове управления и указания за водачи, в това число навигационни документи.
още по тематиката
Сантамарта се хвали, че е разкрил редица уязвимости, водещи до нарушение целостта на паметта. По този метод евентуалният нападател може да проникне най-малко в тази система и да се укрепи в нея.
Ключовият въпрос е дали хакерът може да проникне по-нататък в най-критичните съставни елементи, виновни за мотори, шасита, спирачки и така нататък Boeing, от своя страна, твърди, че архитектурата на бордовите системи е проектирана по подобен метод, че сходно навлизане по принцип е невероятно.
При липса на достъп до системите на същински аероплан, Сантамарта, по лично самопризнание, не е в положение да удостовери хипотезата си. Той обаче упорства, че даже и такива неточности – като разпознатите от него – в бордовите системи на самолета не би трябвало да бъдат допускани.
Тестовете на Boeing
От своя страна Boeing съобщи, че представители на корпорацията са изследвали откритите „ бъгове ” и са стигнали до извода, че те не съставляват никаква опасност за сериозните системи (в частност авиониката).
„ IOActive изследва единствено една част от мрежата на 787, употребявайки рудиментарни принадлежности, и нямаше достъп до съвременни системи или работна среда. В своето изследване IOActive избраха да пренебрегват нашите резултати и ограничавания, заверени от „ трети страни ”, и вместо това направиха провокативни изказвания, като че ли имат достъп и дарба да проучват работни системи. Въпреки че оценяваме виновната интервенция от самостоятелни специалисти по киберсигурност, ние сме разочаровани от безотговорността на презентацията на IOActive ”, споделят в изказване от Boeing.
В диалог с Wired представители на корпорацията декларират, че по време на инспекцията на изказванията на Сантамарта, специалистите по киберсигурност на Boeing са сложили самолета в режим на полет и са се пробвали да употребяват тези уязвимости. Те обаче не са съумели да проведат сполучлива офанзива.
Трите блока на системата
Бордовите системи на Boeing 787 са разграничени на три блока: Open Data Network – отворена мрежа за данни, в която работи, да вземем за пример, развлекателна система за пътници); Isolated Data Network – изолирана мрежа за данни, която хоства CIS/MS и други значими, само че не сериозни компоненти; и най-после Common Data Network – мрежа за общи данни, която хоства авионика и услуги, свързани със сигурността.
И до момента в който Рубен Сантамарта допуска опция за нахлуване от една в друга мрежа, Boeing твърди, че това не е правилно: и трите блока са изолирани един от различен, а сред IDN и CDN има устройство за хардуерна отбрана, което разрешава продан на данни, само че предотвратява опити изпращане на команди за осъществяване на интервенции, които биха могли да повлияят на сигурността на полета.
От своя страна, Honeywell, разработчик на уязвимата CIS/MS система, съобщи, че макар казуса, той не съставлява опасност за сигурността на полетите – невероятно е да бъдат нападна сериозни системи посредством тази накърнимост.
Влошена известност
Междувременно, репутацията на производителя на самолети в последно време беше видимо разтърсена: след две съдбовни произшествия, които лишиха 346 живота, полетите на лайнера 737 Max бяха спрени. Причината за срутва и в двата случая, явно, беше неточност в програмния код на бордовите системи.
Министерството на превоза на Съединени американски щати изиска обзор на процеса на узаконяване на авиолайнери като 737 Max. Според специалисти, сами по себе си уязвимостите, открити от Сантамарта, могат да съставляват действителна опасност за борда и пасажерите. Очевидно е, че проучванията на киберсигурността в авиационната област към момента са изострен проблем.
Две съдбовни произшествия с Boeing, породени от софтуерна неточност, лишиха 346 живота (снимка: CCO Public Domain)
Експерти по осведомителна сигурност и Boeing не престават да спорят дали самолетите на компанията са уязвими на хакерски офанзиви. Според експерти, възмож само че е навлизане в съставените елементи на бордовата система на Boeing 787 Dreamliner . Те настояват, че има най-малко теоретична възможност хакери да нахлуят в сериозни системи, свързани с ъс сигурността, само че Boeing изрично от хвърля сходна опция, макар че някои въпроси остават о творени.
През септември 2018 година испанският специалист по осведомителна сигурност Рубен Сантамарта, чиновник на IOActive, откри обществен сървър, обвързван с ресурсите на Boeing, напомня Wired. В него е имало голям брой документи с програмен код, предопределен за потребление в бордовите системи на Boeing 737 и Boeing 787. Естествено, Сантамарта изтегля всичко, което може, оттова.
Година по-късно Сантамарта твърди, че е разкрил уязвимости в кода на Boeing 787. Става въпрос за избран съставен елемент, ситуиран „ надълбоко в многокомпонентната бордова мрежа ” на авиолайнера.
Низ от бъгове
„ Грешката ”, или по-скоро цялостен низ от такива, се съдържа в Crew Information Service/Maintenance System (CIS/MS) – система, която дава отговор за приложенията, свързани с поддръжката, а също по този начин съдържа в електронна форма всички типове управления и указания за водачи, в това число навигационни документи.
още по тематиката
Сантамарта се хвали, че е разкрил редица уязвимости, водещи до нарушение целостта на паметта. По този метод евентуалният нападател може да проникне най-малко в тази система и да се укрепи в нея.
Ключовият въпрос е дали хакерът може да проникне по-нататък в най-критичните съставни елементи, виновни за мотори, шасита, спирачки и така нататък Boeing, от своя страна, твърди, че архитектурата на бордовите системи е проектирана по подобен метод, че сходно навлизане по принцип е невероятно.
При липса на достъп до системите на същински аероплан, Сантамарта, по лично самопризнание, не е в положение да удостовери хипотезата си. Той обаче упорства, че даже и такива неточности – като разпознатите от него – в бордовите системи на самолета не би трябвало да бъдат допускани.
Тестовете на Boeing
От своя страна Boeing съобщи, че представители на корпорацията са изследвали откритите „ бъгове ” и са стигнали до извода, че те не съставляват никаква опасност за сериозните системи (в частност авиониката).
„ IOActive изследва единствено една част от мрежата на 787, употребявайки рудиментарни принадлежности, и нямаше достъп до съвременни системи или работна среда. В своето изследване IOActive избраха да пренебрегват нашите резултати и ограничавания, заверени от „ трети страни ”, и вместо това направиха провокативни изказвания, като че ли имат достъп и дарба да проучват работни системи. Въпреки че оценяваме виновната интервенция от самостоятелни специалисти по киберсигурност, ние сме разочаровани от безотговорността на презентацията на IOActive ”, споделят в изказване от Boeing.
В диалог с Wired представители на корпорацията декларират, че по време на инспекцията на изказванията на Сантамарта, специалистите по киберсигурност на Boeing са сложили самолета в режим на полет и са се пробвали да употребяват тези уязвимости. Те обаче не са съумели да проведат сполучлива офанзива.
Трите блока на системата
Бордовите системи на Boeing 787 са разграничени на три блока: Open Data Network – отворена мрежа за данни, в която работи, да вземем за пример, развлекателна система за пътници); Isolated Data Network – изолирана мрежа за данни, която хоства CIS/MS и други значими, само че не сериозни компоненти; и най-после Common Data Network – мрежа за общи данни, която хоства авионика и услуги, свързани със сигурността.
И до момента в който Рубен Сантамарта допуска опция за нахлуване от една в друга мрежа, Boeing твърди, че това не е правилно: и трите блока са изолирани един от различен, а сред IDN и CDN има устройство за хардуерна отбрана, което разрешава продан на данни, само че предотвратява опити изпращане на команди за осъществяване на интервенции, които биха могли да повлияят на сигурността на полета.
От своя страна, Honeywell, разработчик на уязвимата CIS/MS система, съобщи, че макар казуса, той не съставлява опасност за сигурността на полетите – невероятно е да бъдат нападна сериозни системи посредством тази накърнимост.
Влошена известност
Междувременно, репутацията на производителя на самолети в последно време беше видимо разтърсена: след две съдбовни произшествия, които лишиха 346 живота, полетите на лайнера 737 Max бяха спрени. Причината за срутва и в двата случая, явно, беше неточност в програмния код на бордовите системи.
Министерството на превоза на Съединени американски щати изиска обзор на процеса на узаконяване на авиолайнери като 737 Max. Според специалисти, сами по себе си уязвимостите, открити от Сантамарта, могат да съставляват действителна опасност за борда и пасажерите. Очевидно е, че проучванията на киберсигурността в авиационната област към момента са изострен проблем.
Източник: technews.bg
КОМЕНТАРИ