航空安全是一个复杂问题,我对航空电子安全的兴趣源于乘机客户的评论,几年前媒体曾报道了美国国土安全部(DHS)测试波音 757 的电子攻击问题,那个时候就有好多人担心受「感染」的飞机可能会对机场造成新的攻击面,形成安全隐患。今天,我们就来简单了解一下机场信息系统存在的一些攻击面。
在地面上,飞机与机场和航空公司的数据通信交换非常多,会涉及到广泛的无线网络和其他射频协议来信息交换,特别是 Gatelink,另外,还有指挥室里简单的机组人员笔记本电脑、平板电脑和电话通信等。
Gatelink(门飞机终端环境链接)是一种在机场停机坪区域或维修点附近,提供高速无线通讯的较新的航空工业规范,有点类似于日常生活中的 WIFI 无线宽带网络,它可以相对低廉的费用提供 1M-11Mbps 相当之快的传输速率。
这里可以从一些系统接口说起。作为一个曾经有多年飞行经历的私人飞行员来说,我有使用一些电子系统的个人经验,也非常有幸飞到大型商业机场,在简报室和安全办公室里见识了很多。最大的挑战是涉及到大量不同实体的管理控制:乘客、机组人员、航空公司工作人员、安保人员、警察、海关和其他政府机构、货运、餐饮服务等等。
机组人员通行证需要在多个地方有效,可能会是不同的机场。因此访问控制系统需要具有互操作性,如果通行证只允许机组人员进入伦敦希思罗机场,那就没什么用了。
互操作性的需求带来了一些安全挑战:也意味着,在安全控制措施较少的偏远机场一样有通行证发放点,另外它还会导致一些「遗留阻力」的麻烦,例如升级一个系统需要同时升级所有系统。因此,为确保安全控制的互操作性,机场通常都会最大限度地保证通行,但磁条加个人识别码的方式仍然非常普遍。通行证需要跨多家航空公司授权,也增加了复杂性。
我倒是没有克隆机组人员通行证的想法,但是像 Proxmark 这样的工具却是能创造克隆的可能性。或许我请机组人员吃个饭,买通关系,估计也能克隆一张通行证。
与访问控制息息相关的是楼宇管理系统(Building Management System,BMS),我曾在 2006 年注意到一家楼宇管理系统供应商发布新闻称,他们赢得了在希思罗机场当时新的 5 号航站楼安装楼宇控制器的合同。所以之后,我从 eBay 上买了该厂家使用的相同的控制器,来做团队内部研究,结果有点吓人。
楼宇管理系统可以控制电子门锁、空调系统、工业过程控制器等等。电子门锁,是的,那些保持空侧 (airside) 和陆侧 (landside) 分开的门通常是电子控制的。警报会在触发时响起,但是我们发现一些楼宇管理系统存在可验证绕过和远程攻击漏洞。大多数情况下,楼宇管理系统从接入面板就能接入,有时候还和网络互联。
许多机场的窗户走廊很长,有些甚至有几英里长的玻璃。这使得温度管理极具挑战性,需要强大的空调系统。有时空调系统由本地管理的楼宇管理系统控制,但由专业公司进行远程管理的情况也非常普遍。再说一遍,存在第三方远程接入空调系统的情况,没毛病,对吧?
干扰空调系统可能只会导致乘客和工作人员在温度出现问题时感到不适,但更令人担忧的是,空调系统可能会与其他系统相连。
大多数这种登机手续办理台(Check-In Desks)都是由航空公司在机场租用的,如果你看过其电脑系统屏幕,它们都大多是老式显示器和老式的系统屏幕,它们可能是航空公司自己的系统,也可能是伽利略 Galileo 等航空外包公司的系统。
由于不同航空公司的不同员工都可以使用这些登机柜台系统,你认为这种系统的用户身份验证可能有多好?那些可供直接触摸访问的自助值机系统也是有风险的,虽然物理破坏可能会招致机场安保人员的阻止,但是,这些自助值机系统会随着乘客需求变化而不断变化,所以其存在的问题也会不少。
如果你想看看一个混乱的机场,那么就等行李托运系统坏了的时候就能见到。大多数行李托运系统都具备一定的自动化或完全自动化程度,它们通常由一些 Windows 系统控制的可编程逻辑控制器(PLC)来管理。
行李托运系统很少直接暴露在机场网络中,大多依赖于专用的串行接口,,但有时候也会发生机场联网暴露事件。如果你想知道具体的干扰情况,请阅读我们关于海洋串行网络的攻击研究。重新刷新或构建一些关键控制器,或篡改少量串行数据就可能足以扰乱行李系统,导致机场停飞。
当航空公司客户找到我们说,你们对我们的安全测试要尽量真实一点,以便发现潜在隐患,我非常乐意。所以,我们组织开展了一些深入的红队测试(Red Teaming),最后果然发现机场的航班显示屏存在安全问题。之后,在得到了验证性测试授权之后,我们就轻松地往航班显示屏中注入了我们自己构造的航班序列。
所以,如果航班显示屏出故障或被篡改怎么办?最近在英国布里斯托尔机场就发生了一次安全事故,可能是勒索软件攻击,最终导致了包括航班显示屏在内的多个系统故障,转为人工报飞。这种安全事件,也间接引发了人工成本增加。
由于此前我们对闭路监控系统的安全问题有过一些研究,在此我就不作过多叙述。一些机场的监控系统也是非常一流的,我在很多机场都见过,现在高端监控系统的分辨率和弱光能力都非常强大,尽管其硬件安全措施很到位,但我们还是发现了安全问题,曾从中把私钥信息恢复出来了。
我一向对安检电子通关系统(Electronic Passport Gates)感兴趣,也对生物识别乘客的技术好奇。现在我才知道,机场安检中的乘客**图片是会近乎实时发送给驻地边防警卫机构的,由他们来用这些图片与乘客安检口拍照照片比对,虽然有效率,但好像也并不智能。
此前我们也见过,为了方便执法机构的访问,一些隔离措施不当的电子通关系统直接连接在了机场网络中,现在这种情况很少见了。另外,现在的一些扫描仪和 X 光探测器也是联网的,我们也想整几个这样的实物来研究研究,但对普通研究人员来说,这种仪器还是有些昂贵。
和办理登机手续的柜台一样,一些特许经营店都是从机场租用的,每个特许经营店都将配备专用独立的网络连接,以此来运营零售业务。我们也发现了一些没有隔离的特许经营店网络,可以在上面访问到其它的机场系统,这也许是为了方便特许店与机场其他部分的互动和数据交流。
无线网络的问题众所周知,这对机场来说也是一个安全挑战,如果管理不当,机组的电子飞行包和其他合法航空设备可能会意外连接到错误的网络。鉴于机场内连接到网络的设备数量庞大,所以假冒网络欺骗吸引一些有趣的工具包或凭据有时可能会成功。
如果飞机长时间在地面上的话,地面电源对机场运行至关重要,否则,飞机将继续运行辅助动力装置,燃烧昂贵的 A1 喷气燃料,并排出二氧化碳。地面电源的控制和计费系统是网络化的,但燃料输送不是,大部分燃料输送是由加油操作员按所需负荷完成的。
然而,正如斯坦斯特德机场燃料库遭受雷击事件那样,关闭高压管道泵会造成麻烦,所以这点可以从 OT 黑客技术上考虑。人们可能不太清楚的是,由于机场需要燃料量巨大,它们有专门通往油厂的管道,就拿 A380 来说,它需要容纳 320,000 升超过 250 吨的 A1 喷气燃料,根本没有足够的油箱来满足需求。
此外,燃料输送请求越来越自动化,飞行员的电子飞行包可用于指定所需的燃油负荷,燃油负荷通过 API 接口发送到加油员携带的平板电脑上,并在航空公司的飞行操作中进行重量和平衡检查。
机场停机坪是一个繁忙的地方,让车辆远离滑行飞机是很重要的。因此,空侧车辆将会配备广播式自动相关监视系统(Automatic dependent surveillance – broadcast,ADS–B),这意味着地勤人员可以通过地面雷达来对它们进行控制。
ADS-B 是一个未经加密和授权验证的协议,我见过它安装在一些高端无人驾驶机上,用在机场附近合法授权使用。不需要太多时间,就可用无线电广播一个恶意 ADS-B 信号,并在跑道上放置一辆干扰车,在低能见度条件下,这将会导致混乱。
大多数飞机需要从登机口或泊位推离,所以电动牵引车(Pushback Tugs)是必需的,地面调度员会和牵引车一起往回走,也会通知机组人员,让他们在牵引车上方提供额外的观察,也有一些机场停机坪采用了由调度员远程控制的机器 人牵引车。
我们认为,牵引车大多使用 Wi-Fi 或定制的超过 868 兆赫的射频识别控制器。劫持牵引车可能会引发麻烦,可能会把一架飞机撞到另一架上。
如今飞机对地面导航系统的依赖程度降低了,传统的特高频全向信标定位 VOR、ADB 和 DME 导航台正在被取代,并已被惯性基准和全球定位系统所取代,但有还有一些航空公司仍在使用 VOR 路由。
尽管经常用全球定位系统进行扩充或交叉检查,但仪表着陆系统(ILS)现仍被广泛使用,它是跑道尽头地面站的广播信号。
已经证明欺骗仪表着陆系统并给出误导飞机的错误信号完全是可行的,在良好的天气条件下,这种欺骗偏移是直观的,但在低能见度下就更不明显了。希望伽利略(Galileo)能有所改进和帮助,因为它应该更能抵御欺骗攻击。
同样,为了减少手动把手操控指引滑行飞机的需求,自动对接系统变得越来越普遍。自动对接系统使用红外激光来计算飞机到停止点的距离,但是系统必须知道飞机的型号才能正确工作,这种红外激光的安全问题值得研究,你会希望机组人员会注意到它们的飞机已经从 A380 变成 A320 了!
飞行员简报系统对飞机调度至关重要,它需要记载装货单、天气、路线、飞行许可和更多信息。简报系统通常在飞行员简报室的 Windows 系统电脑上完成。不同航空公司的不同飞行员都会使用这些系统,因此实施严格的安全控制可能也比较难。
无飞行许可就不能起航离港,在适当的备份系统作用下,这明显会增加时间,最坏的情况是,这可能涉及无线电读取和确认许可,从而显著增加派机时间。虽然越来越多的简报数据会被发送到机组的电子飞行包中,但简报室仍然发挥着关键作用。
Gatelink 系统是为了减少任何飞行对人工文书工作的要求,装载单、乘客名单和更多的信息会通过它回送到机场,当飞机着陆后,这些信息也会回送到地面控制中心。
大多数 Gatelink 系统都使用无线网络,一旦飞机轮子接触地面,无线网络就会被激活。那猜想一下,如果机上的客户在机场探测无线接入点,顺利通过其安全认证,是不是就可以下载其回送到机场的乘客数据?
在成本上来说,地面无线网络比卫星通信或甚高频 ACARS 方式便宜得多,这些地面无线网络还用于下载发动机性能数据和许多其他有助于飞机高效运行的指标信息。
如上所述,机场信息环境非常复杂,很难保证绝对安全,那机场自身应该采取什么样的安全措施呢?这里没什么新花样,也就是平时基本适用的:隔离、最低授权和对不易安保系统的管理控制。
*参考来源:pentestpartners,clouds 编译整理,转载请注明来自 FreeBuf.COM