En obotlig historia plan hacking: Beyond the hype och hysteri

Rubriker och INFOSEC proffs har pågått mental över säkerhetsforskaren Chris Roberts påstådda mid-flight hacking av en kommersiell flygplan, och hans efterföljande internering av FBI i april.

Gogo under flygning Wi-Fi tjänar falska SSL-certifikat, TSA att lämna passagerare maktlösa om enheter inte slås på, Flygplan säkerhet väcker frågor om under flygning Wi-Fi

Det blev hysterisk förra helgen när en månad gammal FBI husrannsakan ansökan dykt upp i rubrikerna hyping FBI: s övertygelse att Roberts försökte flyga planet genom att hacka in genom in-flight entertainment system.

Det återstår att se huruvida en hacker kan göra en 747 “göra ett fat rulle” a la de maddeningly omöjliga fantasier CSI Cyber.

Säkerhet, Chrome att starta märkning HTTP-anslutningar som osäkra, säkerhet, The Hyperledger Project växer som gangbusters, säkerhet, Nu kan du köpa ett USB-minne som förstör allt i sin väg, säkerhet, Kostnaden för Ransomware attacker: $ 1 miljard år

Men som ett resultat, är världens öppet undrar om det finns sanning i de försäkringar från tillverkare och tjänstemän som flygsystem är lika säker som hävdade – och om varningar yrkesverksamma informationssäkerhet kommer ignoreras.

: Jokers, hackers, och flygsäkerhet

Lösenord rapporterade i fredags att Roberts är en av många som har rapporterat flygsäkerhets resultat till myndigheterna, och har gått ignorerat

(…) Enligt Roberts, innehållet i hans forskning delades med flygplanstillverkare Boeing och Airbus, liksom Federal Aviation Administration, men rönt liten uppmärksamhet.

Som framgår av begäran ordern, var Roberts första kallats för att diskutera sitt arbete på Denver FBI kontor i februari och mars, han hade identifierat påstådda sårbarheter med under flygning underhållning (IFE) system på Boeing 737-800, 737-900, 757-200, och Airbus A320.

FBI konstaterade: “Chris Roberts lämnat uppgifterna eftersom han vill att sårbarheter som skall fastställas.”

Boeing omtvistade förra helgen media frenesi, som rider högt på förslaget att hackare var jävlas med plana kontroller för lulz, en Boeing rep berättade Security veckan att interna system tillgång var helt enkelt inte möjligt.

Som stora uppgifter, sakernas internet, och sociala medier sprida sina vingar, de få nya utmaningar för informationssäkerhet och användarnas personliga integritet.

Boeing sade, “IFE system på kommersiella flygplan är isolerade från flyg- och navigationssystem,” en Boeing rep förklaras. “Även om dessa system får positionsdata och har kommunikationslänkar, utformning isolerar dem från andra system på flygplan som utför kritiska och viktiga funktioner.

Det är förmodligen en bra sak för Boeing att stormen väntat tills nu läcker ut sin tekanna.

En FAA begäran att ändra Boeing 777 säkerhet inlämnad på den amerikanska Federal Register webbplats 2013, och en annan förra året på Boeings 737 linje, berätta mer om Boeing och FAA: s relation med ombord nätverkssäkerhet.

Enligt en särskilda villkor modifiering begäran 2013 med titeln Electronic System Security skydd mot obehörig intern tillgång, Boeing var orolig IFE är ansluten till kritiska system i flygplanet.

Boeing begärde Federal Aviation Administration om tillstånd att lägga till ett “nätverk förlängningsanordningen” för att separera de olika systemen från varandra, med angivande

Vidare har regler och nuvarande politik värderingssystem säkerhet och tekniker inte upp potentiella säkerhetsproblem, som kan orsakas av obehörig åtkomst till flygplansdatabussar och servrar.

I juni 2014 annan FAA / Boeing ändringar under särskilda villkor arkivering – en begäran om synpunkter på förslagen säkerhets – adresserade Boeing modeller av intresse för Chris Roberts: Den 737 raden.

I ansökan, Boeing föreslagna särskilda villkor och ett medel för efterlevnad “säkerställa att säkerheten (dvs, sekretess, integritet och tillgänglighet) av flygplanssystemen inte äventyras av obehöriga trådbundna eller trådlösa elektroniska anslutningar.”

Att spela catch-up

Det medgav uttryckligen att “Arkitekturen och nätverkskonfiguration kan tillåta utnyttjande av nätverks säkerhetsproblem som resulterar i avsiktlig eller oavsiktlig förstörelse, avbrott, nedbrytning, eller utnyttjande av data, system och nätverk är viktiga för säkerheten och underhåll av flygplan.”

Dessa “särskilda villkor och ett medel för compliance” var så vaga att under kommentarer perioden uttryckt en anonym säkerhetsforskare allvarlig oro effekten av förslaget.

Kommentaren uppmanade FAA och Boeing att anta vissa säkerhetsbranschen grunderna: Nämligen oberoende utvärdering och penetrationstester.

737 arkivering därefter tillbaka från offentlig kommentar eftersom FAA inte ville “fördröja utfärdandet av konstruktionsgodkännande och därmed leverans av de drabbade flygplan.”

Tyvärr, FAA sade också att avfärda kommentaren perioden var acceptabelt, eftersom det inte fanns några viktiga kommentarer ändå. Det sade, “dessa särskilda villkor har varit föremål för offentlig kommentar processen i flera tidigare tillfällen med några väsentliga synpunkter som inkommit.”

När Roberts befann sig i centrum av rubriker om planet hacking, han berättade media, “Det har varit ett känt problem för fyra eller fem år, där ett gäng av oss har stått upp och bultande vårt bröst och säga,” Detta måste fastställas. ”

Han var inte fel. I maj 2009, visade en statlig flygbolag säkerhetsrapporten att säkerhetstester identifierat 763 “hög risk” sårbarheter som kan ge hackare tillgång till administrativa system. Som svar, FAA avslog rapportens slutsatser, berättar Wall Street Journal “Det är inte möjligt att använda administrativa och mission stödjande nätverk för att komma åt kontrollflygtrafiknätet.

De Edward Snowden avslöjanden har skakat regeringar, globala företag, och tekniken världen. Här är vårt perspektiv på fortfarande utspelas konsekvenser tillsammans med IT-säkerhet och riskhantering bästa praxis som teknikledare kan komma till god användning.

Refererar till FAA: s förnekande, säkerhetsforskare och pilot Righter Kunkel presenterade Air Traffic Control Osäker 2,0 vid både Defcon 17 (augusti 2009) och återigen på Defcon 18 (augusti 2010). Grunden för hans samtal var att Air Traffic Control system “inte fokuserade på nätsäkerhet av utrustning som används”, och han uttryckligen att han inte förespråkar dessa hack, men försökte att få FAA för att lyssna på honom.

På Black Hat USA 2012, forskare Andrej Costin varnade i en detaljerad diskussion som FAA: s då nya flygledningssystemet, den automatiska Dependent Surveillance Broadcast System (ADS-B) som för 2014 utplacering var utsatta för spoofing attacker.

Ett arv att avskeda säkerhetsforskningen

Eftersom CSI Cyber ​​är illa nog

Som svar på Costin slutsatser, ordförande för ADS-B Technologies bagatelliseras frågan till CNN säger att spoofing var bara en gammal teori. “Vi är ganska bekant med teorin att ADS-B kan” falska “eller fördämningen fastnat av falska mål. Det finns lite nya här. I själva verket nästan alla radiofrekvensanordning kan störas något. Jag kan naturligtvis inte kommentera motåtgärder, men du ska veta att denna fråga har undersökts grundligt och internationell luftfart har en plan. ”

Kanadensiska forskare RenderMan presenterade anfall The Next Generation Air Traffic Control System i USA säkerhetskonferens Derbycon 2013. RenderMan berättade Fox News att han bara gick offentligt med sin forskning efter att han rapporterade sina iakttagelser till FAA (och Kanadas triklorisocyanursyra) men bara fick en burk uttalande som svar.

Också i 2013, Hugo Teso s Hack In The Box föredrag om flygplan hacking visade en simulerad flygning övertagande med hjälp av sin Android-telefon – och gjorde det till CBS tv-show Criminal Minds i sin säsong ett, episod två vädring.

Teso tal, baserat på hans tre års forskning inom flyg säkerhetsområdet, var “en praktisk demonstration om hur man på distans attackera och ta full kontroll över ett flygplan” och “hela attacken [var] åstadkommit på distans, utan att behöva fysisk åtkomst till målet flygplan när som helst.

Förra året vid SECT 2014 Teso presenteras gå djupare om luftfartsskydd. Enligt Teso, sin forskning “inte kommer att släppa exploits eller sårbarheter som kan användas mot flygplan oansvarigt.”

Tidigare i år, huvud säkerhetskonsult för IOActive Ruben Santamarta talat att trycka om hans augusti 2014 presentation på SATCOM (satellitkommunikation) utrustning, som “tillåtet obehöriga användare att hacka sig in i SATCOM utrustning när det är tillgängligt via WiFi eller In-Flight underhållning nätverk . ”

Santamarta berättade Fox News i mars att om någon lapp eller fix hade genomförts, hade han inte hört talas om det. Ändå “Fyra månader efter Santamarta presenterade sin forskning, flera internationella luftfartsorganisationer undertecknat Luftfarts Cyber ​​Security handlingsplanen en pakt som syftar till att öka samarbetet mellan de normalt konkurrenskraftiga branschledare för att förbättra deras cybersäkerhetsfunktioner.”

Chris Roberts har inte åtalats för något brott, och husrannsakan programmets påståenden, en kombination av flera FBI intervjuer med Roberts i februari och mars, inte har bevisats i domstol (PDF här).

Viktiga debatter om “stunt hacking” och att öka medvetenheten tagen in och ut om informations cirklar, och detta är en bra sak.

Men det är som om plötsligt, är både myndigheter och medier freaking om forskning som har varit en offentlig handling, eftersom flygbolagen börjat använda under flygning nätverk.

Kanske kan detta vara en vattendelare ögonblick, där regeringen, handel och informationssäkerhet kan hamra ut ett sätt för alla att arbeta tillsammans, och säkerhet kan blomstra som något som inte är en skuld spel, men i stället är en framväxande uppsättning av metoder som är, av naturen, socialt informerade.

Eller inte.

 berättelser

Krom att börja märkning HTTP-anslutningar som osäkra

Den Hyperledger Project växer som gangbusters

Nu kan du köpa ett USB-minne som förstör allt i sin väg

Kostnaden för Ransomware attacker: $ 1 miljard år