失控:一张3.5寸软盘暴露民航业网络安全危机




失控:一张3.5寸软盘暴露民航业网络安全危机


近日在DEF CON28黑客大会的一次视频采访中,Pen Test Partners的研究人员透露波音747-400飞机居然仍在使用3.5英寸软盘来更新重要的导航数据库(更新周期为28天)。事实上,很多飞机都在使用古董级的3.5英寸软盘,例如波音737飞机多年来也使用软盘加载航空电子设备软件。根据《今日航空》2015年的一份报告,这些软盘上的数据库越来越大。


失控:一张3.5寸软盘暴露民航业网络安全危机

波音747的软盘驱动器


作为全球化、信息化和现代化的标志性行业,航空业的大型商用飞行器依然使用3.5英寸软盘更新关键数据这件事不但让安全人士无语,甚至广大民众也为之肝颤。要知道连“食古不化”的美国国防部都已经在去年退役了存储发射核弹指令的软盘,即便这些软盘从未在“生产环境”中使用过。


近年来,随着航空业数字化的深入,航空软件和网络安全已不仅是安全极客的炫技场,甚至也不仅是一个行业的“技术债”问题,而是关系到每个人生命安全的“生死簿”。


我们先简要回顾下近来拉响航空业安全警报的事件:


·2019年7月,DHS/CISA发布了关于CAN总线网络实施不安全的警告,该协议允许飞机,汽车和其他机器内的各种设备相互通信。该漏洞可能允许不良行为者向飞机注入虚假数据。据CISA称,通过物理上接入CAN总线系统,对手可以改变许多飞机的测量数据,包括发动机遥测读数、指南针和姿态数据、高度和空速。


·2019年波音公司刚刚复产的737 Max飞机因软件故障导致两次致命的坠毁,共造成346名乘客和机组人员死亡。一年后的今天,在因两起空难而在全球范围内停飞一年多后,737 MAX重新认证的进程仍悬而未决。据路透社报道,2020年8月11日公布的月度数据显示,波音公司的客户今年取消了超400架737 MAX飞机订单,而该公司的飞机总交付量在7月份下降到只有4架。


·2020年7月,航空业的供应商之一,Garmin公司因勒索软件导致消费类产品和商用航空产品——Garmin Pilot、Connext和FlyGarmin业务瘫痪,其中Garmin Pilot应用负责向飞行员提供飞行计划存档、账户同步和数据库功能,而Connext则提供驾驶舱服务与天气、未知报告以及飞机上的中央维护计算机(CMC)的数据。


·2019年,一位网络安全教授在英国航空公司的航班IFE机载娱乐系统中发现了缓冲溢出漏洞(CVE-2019-9109)。该教授用USB鼠标将长字符串文本输入到机上聊天应用程序,导致整个机上娱乐系统崩溃。这种在飞行航班上的渗透测试引起极大争议,同时也证明了航班网络安全问题的真实性和危险性。


·2020年8月,DEF CON28上网络安全人士透露,由于受疫情影响英国航空公司准备退役一支机队,网络安全人士首次获准进入波音747客机内部进行信息安全检查和测试。PTP也首次向网络安全界公布波音747内部乘客甲板下方的全部航空电子设备舱,以及数据中心式的,模块化的飞行控制模块。此次调查发现波音747仍然在使用3.5英寸软盘更新重要的导航数据库。


事实上,航空网络安全问题的严重性远远超出人们的预期。在安全牛年初的报道《航空业的安全噩梦:走进波音公司的湿暗后厨》一文中,安全研究员克里斯·库贝克(Chris Kubecka) 在2019年底伦敦举行的航空网络安全会议上,披露了波音公司网络安全的“脏乱差”:


测试开发网络公然裸奔、邮件服务器塞满忙碌的恶意软件、官网门户大开(没有启用 HTTPS)、发现漏洞的白帽子遭到恐吓威胁…任何一位航空公司信息主管百忙中抽空瞥一眼波音公司的安全后厨,一定会恶心得好几天吃不下饭。



航空网络安全态势:失控的数字化攻击面


不仅仅是波音公司及其客机产品,更大的威胁来自网络和新兴技术。民用航空主要依靠网络技术来提高航空运输的安全性和效率。随着航空业数字化的日益发展,系统的互联性和对技术的依赖导致了新风险的出现。航空业所依赖的计算机网络系统包括空中导航系统、机载飞机控制和通信系统、机场地面系统、飞行信息系统、安全检查以及许多其他日常使用的技术,涵盖几乎所有航空领域。


随着机器学习和5G等新兴技术的广泛采用,包括垂直电动起降(eVTOL)和自动驾驶飞机,使得航空网络安全风险管理变得越来越复杂,以至于既难以管理风险,甚至无法深入了解风险。这种态势将意味着攻击者和被攻击者(航空业企业)数量将快速增长。


攻击面的增加会威胁到航空部门的所有组成部分:机场、航空公司、空中交通管制(ATC)中心、供应商甚至乘客。


当下的航空安全状况有多么糟糕?ImmuniWeb年初曾发布过一个针对全球大型机场的网络安全、合规性和隐私的研究。结果显示:


全球100个最大的机场中有97个存在与易受攻击的Web和移动应用程序、公共云配置错误、暗网暴露或代码库泄漏有关的安全风险。”


仅有三家机场顺利通过所有安全测试,没有重大网络安全问题:


·阿姆斯特丹史基浦机场(欧盟)

·芬兰赫尔辛基-万塔机场(欧盟)

·爱尔兰都柏林机场(欧盟)


绝大多数机场的官方网站存在以下问题:


主网站安全:


·97%的网站包含过时的Web软件

·24%的网站包含已知和可利用的漏洞

·76%和73%的网站分别不符合GDPR和PCI DSS

·24%的网站没有SSL加密或使用过时的SSLv3

·55%的网站不受WAF保护


移动应用程序安全性:


·100%的移动应用包含至少5个外部软件框架

·100%的移动应用至少包含2个漏洞

·每个应用平均检测到15个安全或隐私问题

·33.7%的移动应用传出流量没有加密


暗网曝光、代码存储库和云:


·66%的机场暴露在黑暗网络上

·325次风险敞口中,有72起存在严重或高风险,表明存在严重违规

·87%的机场在公共代码存储库中数据泄漏

·3184次泄漏中,有503次存在严重或高风险,可能导致违规

·3%的机场具有未受保护的公共云和敏感数据


此外,对36个机场官方手机APP的测试发现,100%的机场APP都包含漏洞,每个APP平均检测到15个安全或隐私问题。


糟糕的网络安全现状必然会招致惩罚,近年来全球机场网络安全事件层出不穷,例如布里斯托尔机场遭受勒索软件攻击,黑客窃取了建筑计划和敏感的安全协议,波兰华沙机场遭遇DDoS攻击,上千名旅客滞留;欧洲一些机场甚至在登机口显示器上公开泄露预订系统中的乘客隐私数据(此漏洞被赛门铁克安全人员发现并已修复)。


根据EUROCONTROL于2019年发布的航空业网络安全调查,对许多空中交通管理系统进行的渗透测试结果显示,大多数系统都非常脆弱。EUROCONTROL在调查报告中指出:航空业的高级管理人员,技术人员和系统设计师需要摆脱这样的幻想,即他们的系统可以在网络攻击中幸存下来,因为过去“什么都没有发生”。


EUROCONTROL文件总结说:“现在的挑战在于使航空系统/服务逐渐变得越来越具有网络韧性,同时保持安全性和成本效益。”



提高网络韧性的五大挑战


航空业的一个关键特征是各个部门(机场、空中航行服务、航空公司等)之间的高度相互依赖性,以及与相关系统(维护服务、网络连接服务、燃料分配系统等)的互连性。在此价值链中任何一点的安全事件都可能在其他领域造成严重后果。


在2020年年会期间,世界经济论坛(WEF)敦促航空业重视新兴网络安全挑战,正如其在“提高航空业的网络弹性:行业分析”报告中所述:航空业可能会遇到与其他行业一样的网络风险,这些风险是与新的数字化和连通性息息相关的。


国际航空运输协会(IATA)指出:“技术和数字化不仅带来许多优势,而且还带来了在复杂的国际运营中(从机场、飞机运营商、空中交通管理和供应链)发现和管理网络漏洞的挑战所带来的风险。”


这种复杂性使航空业容易受到不断增长的网络风险和威胁影响。根据大西洋理事会的最新报告,对于许多网络威胁行为者来说,航空业是一个有吸引力的目标,其动机多种多样,从经济利益到破坏,伤害以及与人为错误有关的无意动机。


由于其复杂性,对航空部门的网络攻击可能更难以检测和控制,并可能产生级联效应,从而导致经济损失,工业中断,并在某些情况下造成人员伤亡。如果没有足够的网络安全性和应变措施以及能力,此类网络攻击的影响可能会很严重。


大西洋理事会去年底发布的航空网络安全报告指出,航空网络安全风险管理面临以下极大迫切需要解决的五大挑战:


首先,航空网络安全的“内生化”。如何将航空网络安全集成到飞行安全、安全(Safty)和企业IT中,同时所有这些都受到完善的治理和问责框架的约束。


航空供应商和客户的第三方网络安全问题。根据大西洋理事会的说法,许多供应商发现很难将最佳实践融入采购中。在就适当的网络安全风险管理和透明度达成共识方面也存在困难。


信息共享不畅。管理航空网络安全的前提是对风险的清晰明确的了解。信息共享需要航空利益相关者之间达成协议来确定航空网络安全风险,同时第三方威胁信息提供服务也有待发展。


安全培训缺失。尽管多年来航空业通过其设计和培训实践来严格地预测,减轻或客观地调查故障和事故,但是将网络安全纳入航空业的文化仍然是一个挑战。识别或管理航空网络安全事件的培训非常少(针对飞行员、空中交通管制员等)。


无法抵御大规模破坏性攻击。尽管航空运营具有内在的安全韧性,但大规模破坏性攻击将难以管理。对数据完整性的攻击将破坏航空公司的安全运营。



航空业的网络安全策略与标准密集出台


航空网络安全建设应在全球范围内协调开展。但是随着国家,地区和组织机构为改善航空网络安全性而进行的努力不同法规和最佳实践范围导致复杂性增加的风险越来越大。因此,任何新的标准体系都必须在复杂的全球供应和运营链中得到统一。


国际民航组织(ICAO)从能力建设的角度提出一个口号“一个(国家)都不能掉队”。国际民航组织大会第四十届会议于2019年10月首次通过了一项与航空有关的网络安全战略,阐明了以下愿景:


“国际民航组织对全球航空网络安全的愿景是,民航部门能够抵御网络攻击,并在全球范围内保持安全和值得信赖,同时继续进行创新和发展。”


国际民航组织的远景点出了民航业面临的主要安全挑战:网络安全能力与飞行安全、业务增长和创新同等重要。


国际民航组织发布的《航空网络安全战略》是建立全球一致性的航空业安全体系的第一步。此外,英国航空网络安全战略以及《欧洲航空网络安全战略协调平台战略》的发布也标志着区域航空市场在加强网络安全建设方面也迈出了重要的第一步。


从航空网络安全标准的角度来看,欧洲航空安全局(EASA)和美国FAA近年来都在积极推进。自2019年底以来,飞机、航空系统、发动机等能够获得适航性认证的唯一方法是遵守最近更新的DO-326和ED-202。这些新法规在管理网络安全风险的方法上要更加详细和全面。


此外,美国国土安全部(DHS)与美国空军(USAF)合作的一项新计划将加强对飞机网络安全性的审查。在《美国国家航空安全战略》发布后,由CISA、国防部和美国运输部共同主持的航空网络安全倡议(ACI)旨在“降低网络安全风险并提高网络韧性,支持对飞机进行脆弱性评估,以更好地了解和减轻风险,从而实现“国家航空生态系统的网络安全,物理安全和高效运行”。



未来之路


随着国际民航组织《网络安全战略》的发布,人们现在对航空网络安全如何在全球范围内发展有了战略性的认识和框架指引。全球的航空业都应该意识到,只有对航空网络安全的认知、理解和管理达成共识和统一,才能为航空网络安全风险管理带来迅速的,全球一致的,有效的变革。这有赖于所有航空利益相关者(包括国家、国际机构、监管机构、制造商和服务提供商)齐心协力,支持新的国际民航组织网络安全战略。该战略的目标包含七个支柱性框架:


1.国际合作

2.管治

3.有效的法律法规

4.网络安全政策

5.信息共享

6.事件管理和应急计划

7.安全能力建设,培训和网络安全文化


航空对网络安全风险的洞察以及全球管理仍然面临重大挑战。应对这些网络安全挑战所需的文化变革需要强大的领导力和时间。航空业必须采取措施以加速这一改进过程,增加透明度和信任度,并提高网络安全的协作性。


总之,作为一个高度全球化的产业,航空业的网络安全没有单点解决方案,降低全球性系统性风险需要所有利益相关者之间积极合作才能达成。



参考资料



2020世界经济论坛:提高航空网络韧性,行业分析:

https://www.weforum.org/whitepapers/advancing-cyber-resilience-in-aviation-an-industry-analysis/


全球100强机场的网络安全现状:

https://www.immuniweb.com/blog/state-of-cybersecurity-top-100-airports.html


相关阅读

航空业的安全噩梦:走进波音公司的湿暗后厨

针对机场运营系统的4个攻击场景

惨遭“撕票”,波音等公司数据被勒索软件攻击者泄露到网上


失控:一张3.5寸软盘暴露民航业网络安全危机

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com





失控:一张3.5寸软盘暴露民航业网络安全危机

上一篇:中国联通2020期中成绩单:净利润逾33亿元,可用5G基站达21万站
下一篇:【报告】2020中国互联网租车行业洞察(附44页PDF文件下载)

相关推荐

聚焦2020中国网络安全年会,范渊:网络空间安全治理还需「智能协同」

1130 E安全

2020年8月12日,以“并肩应对威胁挑战”为主题的2020中国网络安全年会在网上成功召开。本届中国网络安全年会由国家互联网信息办公室指导,国家计算机网络应急技术处理协调中心(CNCERT/CC)主办,安恒信息等10家单位联合主办,中国通信学会通信安全技术委员会协办。安恒信息董事长范渊出席大会主论坛,并作了题为《智能协同:网络空间安全治理与监管》演讲。聚焦当

金时早知道 | 黄金白银跳水!A股回调!7月新增存款不足千亿,多家航空公司恢复了机上热食供应

846 金融时报

20年08月12日综合时政1习近平作出重要指示强调坚决制止餐饮浪费行为切实培养节约习惯习近平近日对制止餐饮浪费行为作出重要指示。他指出,尽管我国粮食生产连年丰收,对粮食安全还是始终要有危机意识,今年全球新冠肺炎疫情所带来的影响更是给我们敲响了警钟。致敬!习近平11日签署主席令,授予钟南山“共和国勋章”,授予张伯礼、张定宇、陈薇(女)“人民英雄”国家荣誉称号。

宋妍霏分手后现身机场,助理手机壁纸内容成亮点,疑影射张一山劈腿?

918 电影特搜

8月10日,宋妍霏和张一山官宣分手后首现身机场,一身白粉色装扮青春洋溢,一看就经过精心的打扮,脸上还挂满了笑容,似乎不受分手影响。看见许多粉丝接机,小姐姐还愉快地向大家挥了挥手,这时候一直跟在她身后的助理屏幕不小心正对了镜头,几个字映入大家眼帘。而截出这一帧可以清晰看见,上面写着“愿天下渣男都去死”。结合宋妍霏前段时间的感情状况,很难不让人联想,这是在暗示张

倪光南:网络安全生态建设任重道远,核心技术不能靠买、靠换!

519 通信世界

“网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域,是全球技术创新的竞争高地。”中国工程院院士倪光南在8月8日举行的华为安全商业联盟2.0峰会上表示。近年来,我国在不少关键核心技术上实现了突破,网信领域的关键核心技术方面依然受制于人。倪光南针对网络安全领域的自主创新问题分享了两点看法。第一,放弃幻想,认识到核心技术不能

周鸿祎重新定位360企业安全:要做新时代网络安全运营商

23 雷帝触网

雷帝网雷建平8月9日报道升级政企安全战略一年后,在ISC2020战略日当天,360集团董事长、CEO周鸿祎正式宣布360企业安全集团新定位:新时代的网络安全运营商。周鸿祎说,“我们相信,网络安全只有堆砌的产品无法应对数字化时代的网络攻击,360希望通过持续运营产生安全能力,输出给行业、城市、国家,共同建设更加牢固的堡垒。”2020伊始,伴随一系列新基建政策的

深圳航空飞西安空客几分钟骤降近6千米!安全返航后已换机重飞

198 新浪新闻

据央视新闻报道,8月9日7时57分,深圳航空ZH9209客机发出7700紧急代码。该客机计划从深圳飞往西安,起飞约25分钟后发生高度骤降情况,2分钟内从9297米下降至3733米。9日上午,深圳航空方面向南都记者证实该航班因“航空公司原因”返航,目前已换机重新起飞,预计当天12时40分抵达西安。南都记者从“飞常准”获悉,ZH9209于当天7时32分从深圳宝安

突发!深圳航空一架客机飞行高度骤降近6000米 现已安全返航

715 新华网

  8月9日7时57分,深圳航空ZH9209客机发出7700紧急代码,并随之返航。在此之前,该客机曾在两分钟内发生高度骤降情况,从9297米下降至3733米。据了解,该航班计划从深圳飞往西安。在8月9日7时32分从深圳宝安机场起飞约25分钟后,出现高度骤降情况。随后航班开始返航,应答机代码也从7700转为普通代码,表明飞机紧急情况已获控制,机组人员可正常操纵

新冠肺炎疫情冲击国际航空业 英航全部波音747客机提前退役

293 新华网

英国航空公司17日宣布,由于新冠肺炎疫情严重冲击国际航空业,超大型客机无用武之地,准备让旗下全部31架波音747型客机退役。美国波音公司上世纪70年代推出747型飞机,为世界首款宽体民航飞机,数十年来主导国际航空货运和客运业务。作为英国旗舰航企,英航拥有31架波音747,数量在国际民航业中居首。英航本来也已准备采购更现代化、更省油的机型逐步替代波音747,原

游戏

RNG本赛季首战iG 电竞春晚再度袭来

1879 腾讯游戏频道

在4月5日14:00,迎来了2020年英雄联盟职业联赛(LPL)春季赛常规赛第五周的第六个比赛日,当天有三场比赛。第一场比赛中,LNG能否止住连败颓势赢下JDG。第二场比赛中,BLG积极求变迎战强敌EDG。第三场比赛中,RNG和iG迎来了新赛季的首次交锋。今日赛程:届时,您可以通过腾讯视频游戏频道、英雄联盟频道观看比赛直播。RNGvsiGiG能否保持LPL榜

私房话

为什么我从没见过男的恋爱脑?

577 见小曰明

第348原创文|明玥有天在微博看到了一个热搜,“申冰退赛”。我还以为哪个奥运选手个人决定退赛了,结果点进去一看,发现是一个女团选秀的选手退赛了。这个《青春有你2》的选秀节目,我虽然没看,但是经常上上微博,也GET到了一些消息。除了傲娇富家女虞书欣,和吴亦凡绯闻女友秦牛正威之外,应该说最出圈的就是申冰、申清、申玉、申洁这四姐妹了。现在姐姐退赛了,理由就是下面这

【观察】OLED电视,凭什么成为游戏玩家的新宠?
游戏

【观察】OLED电视,凭什么成为游戏玩家的新宠?

589 申耀的科技观察

申耀的科技观察读懂科技,赢取未来!在新生代主机游戏玩家群体里,有一个困扰很多人的“千古难题”:玩主机游戏,该选电脑显示器还是电视机?如果你去知乎提问,大多数人会告诉你,无论是电视机还是电脑显示器,都可以用来玩主机游戏。但是,目前市场上的电视机主要是LCD液晶电视,由于其技术的局限性,除了屏幕比一般电脑显示器大,在游戏体验上,液晶电视机甚至不如电脑显示器来的直

告诉你的孩子:不能选的伴侣(深度好文)
私房话

告诉你的孩子:不能选的伴侣(深度好文)

348 今晚九点半FM

点击上方绿标让文倩伴你入眠歌曲:房东的猫《恋爱的犀牛》来源:一星期一本书(ID:yer808)好的伴侣是彼此成就,不好的伴侣只会让双方的生活处于水深火热中。巴菲特在谈及婚姻时也坦言:“你能犯的最大的错误,你人生中的最重要决定是,跟什么人结婚。只有在选择未来伴侣这件事上,如果你真的选错了,将让你损失很多,而且这个损失,不仅仅是金钱上的。”你的另一半,在很大程度

这部剧集齐出轨、同性恋、三P……看着真TM过瘾!
私房话

这部剧集齐出轨、同性恋、三P……看着真TM过瘾!

1223 青春剧未央

《致命女人》安利的N个理由这部大热美剧由《绝望主妇》的制片人亲自操刀,剧名就已经透露了这部剧的核心——女人为什么杀人?短短一集,更是包括出轨、同性恋、开放式婚姻、三P……重口味元素是一应俱全。还有时下热门的年下小狼狗整部剧以多而不乱的平行剪辑方式,拍摄了三个不同时代背景下的故事。而三位女主的唯二交集就是都住在一所豪宅中,而且她们的丈夫都不约而同的出轨了!第一

喵星人高冷无情?只是不轻易表达爱而已!
萌宠

喵星人高冷无情?只是不轻易表达爱而已!

1603 爱猫

爱猫全网最温暖的公众号,善良的猫奴都关注了关注谁说喵星人高冷无情,其实它们对铲屎官用情至深,只是不会轻易表达出来而已...去年12月底网友的老爸因病入院,家里的猫咪Rambo,整天在家变得不安...Rambo从小便在老爸身边长大,平日里一人一喵更是形影不离...后来,老爸因病在医院离世,当将遗体带回家做告别仪式的时候,Rambo好像知道了老爸再也不会醒来,整

玩家群体的边界还能继续拓宽吗?
游戏

玩家群体的边界还能继续拓宽吗?

529 手游矩阵

从市场环境、厂商发言、数据报告等各个方面来看,目前移动游戏人口红利殆尽。据中国音数协游戏工委(GPC)与国际数据公司IDC共同发布《2019年度第三季度中国游戏产业报告》显示,自2018年之后,游戏用户规模进入缓慢发展阶段,新用户越来越少,进入存量竞争阶段。2019年第三季度较2018年第三季度用户规模仅增加0.4亿人,同比增长6.18%;同比增速逐渐下降,

萌宠

泰迪走丢,家里的牧羊犬不吃不喝...

330 宠派泰迪犬

网友陈先生家中养了两条宠物犬,一条是萌泰迪,一条是牧羊犬。10天前,萌泰迪不慎走失,陈先生夫妇焦急万分,一起生活了七八年的牧羊犬也不吃不喝。据陈先生介绍,他喜欢狗狗,七八年前先后抱回泰迪与牧羊犬,看着它们越长越大。这么多年来,两条宠物犬处很融洽,一起吃饭、散步、休息,从未发生过打斗。前几天陈先生夫妇带着它们出门,泰迪突然跑出了他们的视线范围,陈先生夫妇在周边

失去父母的爱,我想在爱情里取暖 | 晚安故事
私房话

失去父母的爱,我想在爱情里取暖 | 晚安故事

200 婚姻与家庭杂志

作者:繁华事头图:摄图网来源:繁华事(ID:fanhuagushi)01我叫丛珊,今年21岁,从小在一个让人尴尬的家庭长大。我的父亲比母亲大20岁,据说两人结婚时,父亲是镇上小有名气的商人,生活风光,举止得体绅士。但我7岁那年,父亲生意破产了,从此他性情大变,颓废嗜酒,还开始家暴。每天晚上,父亲都喝得醉醺醺地回家,二话不说就扯住母亲头发,对她一阵暴打。他挥动

框架思维,解密追女生的“底层密码”
私房话

框架思维,解密追女生的“底层密码”

390 手把手教你谈恋爱

最近有许多会员问我“框架”的问题,怎么理解与怎么把握框架?这个知识点其实很重要,今天这里就再跟大家聊聊这个话题。其实,框架不仅仅是两性关系的思维,普通的人际关系也需要,如果搞明白了这个问题,对人际关系也有很大帮助。举个例子:女:你收入高吗?你可以有很多种回应。最简单的就是问什么答什么,回答高还是低就行。不过这样太像面试,接着进入下一个筛选问题,无形中陷入被动