SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
13 Окт 2015

Уязвимость в ACARS позволяет взламывать самолеты

Директор одного из крупнейших европейских авиационных агентств в минувший четверг предупреждил об уязвимости, позволяющей злоумышленникам скомпрометировать работу критических систем самолета, находящегося на земле.

Слабой стороной системы ACARS является отсутствие проверки пакетов данных, передаваемых от наземных станций до самолета.

Патрик Ки (Patrick Ky), глава Европейского агентства авиационной безопасности (EASA), заявил, что технический консультант, нанятый агентством и сам являющийся пилотом гражданской авиации, обнаружил уязвимости в адресно-отчетной системе авиационной связи (ACARS, Aircraft Communications Addressing and Reporting System), использующейся для передачи текстовых сообщений между самолетами и наземными радиостанциями. Во время пресс-конференции Ки отметил, что эксперт смог взломать ACARS за пять минут и еще за пару дней смог найти способ получения доступа к системам управления самолетом.

«В целях безопасности я не расскажу вам, как именно эксперт смог взломать систему, однако решать, опасна подобная уязвимость или нет, позволю вам», — заявил Ки. О некоторых из этих проблем рассказывал ИБ-исследователь Хьюго Тесо (Hugo Teso) во время своего выступления на конференции Hack in the Box в 2013 году. Изучив ACARS, он обнародовал ряд присущих ей уязвимостей. По убеждению эксперта, линия связи между самолетом и наземной радиостанцией имеет очень слабую защиту.

«Уязвимым местом системы является отсутствие верификации пакетов во время передачи сообщения на борт самолета, — заявил Андрей Никишин, директор по спецпроектам департамента перспективных разработок «Лаборатории Касперского». — Подобная брешь позволяет обмануть систему, внедрив новый пакет в ходе передачи». По словам Никишина, атакующий получает возможность посылать пилотам ложные сообщения, способные повлиять на принятие ими тех или иных решений.

«В теории атакующий может послать пилоту поддельное сообщение о приближающемся шторме и тем самым вынудить того сменить курс, — заявил эксперт. — Таким же образом можно обмануть и механизм GPS — система будет уверена, что самолет находится не там, где он есть на самом деле». В публикации упоминаются также результаты исследования, проведенного Международной организацией гражданской авиации. Исследователи заключили, что, поскольку системы навигации и управления должны быть по идее изолированы от других некритических систем, к примеру развлекательных, риск взлома критических систем крайне низок.

«ACARS использует собственную схему шифрования/дешифрования, созданную еще в 1978 году; в те времена авиационное оборудование разрабатывали, не думая о кибербезопасности, — заявил Никишин. — Эта система сильно устарела, и производителям самолетов уже давно пора бы заняться разработкой новой системы, используя более современный подход». Сообщение Ки об уязвимости лишь на день опередило анонс новой европейской системы управления полетами, названной Sesar.

«Завтра состоится ввод в строй системы Sesar, которая позволит передавать инструкции от авиационно-диспетчерских служб напрямую системам управления самолетами, и риски, связанные с данной уязвимостью, возрастут в разы, — заявил Ки. — Нужно в первую очередь создать структуру, которая будет предупреждать экипажи самолетов об угрозе кибератак».

Безопасность самолетов и ранее поднимался в текущем году. В минувшем мае исследователь Крис Робертс (Chris Roberts) был снят с рейса после того, как он похвалился в Twitter, что смог взломать системы самолета, на борту которого находился. Исследователь был задержан и допрошен агентами ФБР. В отчете агенты указали, что Робертс смог через развлекательный центр получить доступ к критическим системам самолета, что позволило ему отдавать команды на набор или сброс высоты. В правдивости содеянного Робертсом усомнились многие производители самолетов — к примеру, представители Boeing в комментарии заявили, что подобное в принципе невозможно, ведь развлекательные и навигационные системы изолированы друг от друга.

Теги:
утечка информации
Источник:
Threatpost
1490
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015