Сценарий взлома систем управления полетом и связи авиалайнеров посредством Android-смартфона, продемонстрированный в Амстердаме на конференции Hack In the Box немецким экспертом Хуго Тезо, кажется, не убедил представителей отрасли.
Хуго Тезо - консультант по безопасности одной из немецких компаний, в прошлом - пилот коммерческих авиалиний. По словам Тезо, ему удалось отправлять радиосигналы, при помощи которых возможно менять направление лайнера, его высоту, а также управлять тем, что видят пилоты по время полета на бортовых дисплеях. Для этого он написал несложную управляющую программу для Galaxy S3, способную на корню "рубить" систему безопасности авиалайнеров, и купил на eBay профессиональный авиасимулятор FMS, чтобы на нем оттачивать навыки взлома.
На конференции Тезо сообщил, что, в частности, обнаружил уязвимость в системе контроля полетов Honeywell NZ-2000. Представители этой компании заявили, что взломанная экспертом система является общедоступным симулятором полетов, который используется на ПК. В компании уверяют, что сертифицированное программное обеспечение полетов имеет более надежную защиту от взлома, сообщает SecurityLab.
В Европейском агентстве авиационной безопасности заявили: "Уже более 30-ти лет разработка сертифицированного встроенного программного обеспечения проводится под строгим руководством и оно более надежно, нежели программы по симуляции полетов".
Представители Федерального управления гражданской авиации США (FAA) отмечают, что обнаруженная Тезо уязвимость и техника ее использования не может позволить злоумышленнику контролировать автопилот системы контроля полетов и вносить в него изменения без ведома пилота. "Таким образом хакер не может получить "полный контроль на самолетом", - говорится в официальном заявлении FAA.
Специалисты по ИТ-безопасности уже не первый год предупреждают о низком уровне безопасности систем управления производством типа SCADA, так как многие из производителей этого программного обеспечения не уделяли должного внимания обеспечению надежного механизма приема и получения данных, а также хранения информации в бортовых системах. Однако авиационные системы класса ACARS (Aircraft Communications Addressing and Report System) до сих пор оставались вне поля зрения экспертов по безопасности.
Тезо говорит, что ACARS не имеют технологии аутентификации, так как являются изначально закрытыми, однако это совсем не значит, что они не поддаются взлому.
