航空业的安全噩梦:走进波音公司的湿暗后厨

 

任何一位航空公司信息主管有幸,参观一下波音公司的安全后厨,一定会恶心得好,几天吃不下饭。...



点击蓝字关注我们

任何一位航空公司信息主管有幸,参观一下波音公司的安全后厨,一定会恶心得好,几天吃不下饭。

马航事件以来,从发动机引擎到空管,系统和机载娱乐系统 (WiFi),航空业全产业链的信息安全问题已经盖过了,航空业的数字化问题。2015 年的黑帽大会上,甚至有黑客曾演示如何用 Android 手机操作一架自动巡航中,的客机。在黑客草菅人命的威胁,面前,航空公司蹩脚的网站和 APP 用户体验完全不值一提。

航空业的信息安全,是人命关天的大问题,但也是曝光率最低,最容易被忽视的 “灰犀牛” 区域。

年末笔者随手翻看朋友圈,看到某航空公司 CIO 晒了下面这本书:
对预算本就捉襟见肘的航空业信息,安全主管们来说,这本书的主题意味着什么,不言而喻。

但笔者想说的是,不管行业形势多么严峻,亏啥别亏了安全!比低成本竞争战略和,名次更重要的是:别翻车。如果你认为这是危言耸听,那么,我们今天就跟随一位资深白帽,女侠的脚步,参观一下航空业 “群主”——波音的安全后厨。

波音公司数字安全,问题有两大类:Safety 和 Security,前者的代表是今年波音 737-Max 的飞控软件漏洞导致空难,和停飞,不在本文的探讨范围内;而后者,信息安全问题,似乎是风平浪静,岁月静好,直到白帽子女侠克里斯·库贝克为我们揭开了,骷髅新娘的盖头。

测试开发网络公然裸奔、邮件服务器塞满忙碌的,恶意软件、官网门户大开(没有启用 HTTPS)、发现漏洞的白帽子(,白帽子)遭到恐吓威胁...任何一位航空公司信息主管百忙中抽空瞥一眼,波音公司的安全后厨,一定会恶心得好,几天吃不下饭。

安全研究员克里斯·库贝克 (Chris Kubecka) 在上个月伦敦举行的航空网络安全会议,上对听众说:

波音公司劣迹斑斑的信息安全实践威胁着全球,航空安全甚至国家安全。

库贝克说,波音公司的测试开发网络已经公开暴露,在互联网上,而且波音公司至少有一台电子邮件,服务器感染了多种恶意软件。库贝克认为,被感染的电子邮件服务器被用于泄露,敏感的知识产权,包括民用客机以及波音出售给美军的飞机,中使用的代码。

久负盛名的安全研究人员,关键基础设施专家,空军资深人士库贝卡  (Kubecka) 告诉公民社会组织 (CSO),六个多月来,  她一直在四处奔走呼吁,报告波音公司显而易见且易于解决,的安全问题。她还声称,波音公司通过 DEFCON 黑客大会的渠道威胁将对她采取法律,和公关抹黑行动。

如果我看到飞机的门坏了,那么向 FAA 报告就不会有麻烦。但是,作为安全研究人员,报告安全漏洞在法律上,却举步维艰。

库贝卡说,她于 2019 年 4 月在波音公司的网络上发现了,这些安全问题,但在 7 月无奈发推文之前,找不到任何能够与波音公司安全,联系的靠谱的联系人。

当时没有办法与任何,懂安全的波音公司人员沟通,我不能仅仅以纯文本形式发送,此安全威胁信息(不使用加密),这是不负责任的。

波音在一份声明中,对公民社会组织表示:

我们衷心感谢库贝克女士的研究工作所付出,的时间和精力,我们将认真对待,她提出的关切,因为我们将继续努力提高 IT 系统和产品的网络安全性。正如国土安全部本身,已经认识到的那样,库贝克女士确定的所,有问题都不是航空业特有的,也没有迹象表明波音生产的任何航空系统或,产品受到安全威胁影响。

但在故事的另一面,航空业中的信息安全漏洞,很可能已经威胁到航空安全,VirusTotal 网站上的证据表明,波音系统已经受到威胁。

在发表了热情洋溢的 “我没病,但还是很感谢” 的感谢信后,波音公司私底下摆出,的却是一副臭脸:库贝克 (Kubecka) 声称波音不欢迎她的研究,并试图让她保持沉默。

官方恐吓

继库贝克发推文之后,行业威胁情报共享信息小组航空信息,共享和分析中心 (A-ISAC) 的董事会成员包括航空公司,和飞机制造商的代表,曾与库贝克联系。根据收到的电子邮件,A-ISAC 员工道格·布拉夫 (Doug Blough) 也是波音公司的一员,他于8月初在信息,安全会议 DEF CON、Black Hat 和 BSides Las 上要求在拉斯维加斯与库贝克,举行面谈。

库贝卡说,布拉夫于 2019 年 8 月 6 日来到她在拉斯维加斯的酒店房间,参加预定的会议,并要求她签署一份,保密协议。她拒绝了。

我试图向布拉夫强调,我的动机不是犯罪性质,而是出于安全考虑。我曾在(美国空军)当过军事飞行员,并且在航空电子方面有,一些经验。

A-ISAC 首席执行官 Jeff Troy 对此说法提出异议。特洛伊说,2019 年 8 月黑帽会议期间,库贝卡与布拉夫之间的,会议在拉斯维加斯的一家咖啡店举行,讨论了此事,但否认曾强迫(曾强迫)库,贝卡签署保密协议,也不曾发出任何威胁。

我们进行了交谈,查看了许多记录和证据,但我不相信这发生了。

特洛伊拒绝对库贝卡披露的,漏洞发表评论,他说限于内部政策,A-ISAC 并没有就具体漏洞,发表任何评论,但他确认 A-ISAC 于今年 7 月确实意识到了该漏洞。

波音公司的一位,发言人证实,公司的一名员工,大概是布拉夫,为库贝卡简要介绍了几种 “负责任的” 披露模式,有些包括研究人员与,组织之间的保密协议,而有些则没有,但他否认公司内部有人,威胁她。

波音的安全恶习

库贝卡说,在与 A-ISAC 代表布拉夫在拉斯维加斯交谈,之后,当天(8月6日)晚些时候,她与国土安全部的代表交谈并分享,了她的研究成果。波音证实,DHS 随后在 8 月中旬通过 DHS 的漏洞协调流程与该公司分享了,库贝卡的研究。

CISA 一位负责人表示,作为协调披露过程的,一部分,网络安全和基础设施安,全局 (CISA) 审议通过克里斯·库贝卡女士提供的报告,CISA 向波音公司提交了该报告,以供审查和潜在的,补救措施……。在分析网络安全风险时,CISA 并未分析这些漏洞可能造成,的安全因素。另有特定部门负责此分析——联邦航空管理局 (FAA)。

FAA发言人表示,波音有责任保护其网络。

FAA 与飞机制造商合作,以确保关键飞机系统免受包含网络,安全漏洞在内的,未经授权的电子接口侵害。制造商必须进行环境扫描,以评估应其设计,和产品的网络风险。完成后,制造商应向 FAA 提出整改措施,作为 FAA 批准过程的一部分,制造商有责任监视其环境,实施安全控制并确保关键,系统免受恶意活动的侵害。

CISA官员补充说:在整个披露过程中,cisa建起了波音公司与库贝克女士之间,的沟通渠道。

库贝卡报告说,在一系列相对容易补救的,安全问题中,首当其冲的就是波音的测试开发网络已,公开暴露于互联网,这意味着高明的对手能够,访问波音软件的源代码并构建系统。

想象一下,如果你是敌人,并且渗透了飞行控制软件,如果有一天发生战争,我方的传感器或,检测方法不起作用。(CSO 证实,目前至少还有一台波音公司的测试服务器,暴露在互联网上,但不会发布技术详细信息以避免,帮助潜在的攻击者。)

此外,包括尽职调查的其他基本,安全预防措施似乎也没有得到遵守,包括 Boeing.com 网站首页上缺少 TLS 证书(以通过 HTTPS 启用加密的网络流量),这意味着恶意攻击者可能将,恶意软件注入到网络中。根据 netmarketshare.com 的数据,截至上周,超过 90% 的 Web 流量已被加密,这使波音的 “裸奔” 即使在航空业也显得有些 “鹤立鸡群”。如果波音公司这样规模的,公司,官方网站不能正确部署 TLS 证书,那么其他方面的安全问题,简直不敢想象。

随便举几个例子

事实证明,很多。波音公司的电子邮件,域也缺少 DMARC(基于域的消息身份验证,报告和一致性)。DMARC 确保只有合法来源的电子邮件才能到达,收件人的收件箱。结果,缺少 DMARC 的保护使得攻击者,很容易冒充来自 boeing.com 的电子邮件,轻易地对波音公司员工、第三方供应商甚至政府客户展开,网络钓鱼活动。在 DHS 下令所有联邦机构从 2018 年 1 月开始采用安全措施之后,所有联邦政府机构现在都,必须使用 DMARC,众所周知,这些机构已经算是,安全措施的 “后进生” 了。

库贝克发现的最,令人震惊的启示是,波音公司至少有一台电子邮件服务器已经感染,了多种恶意软件。根据由 Google 控制的 Virus Total 恶意软件数据库,波音公司的一台电子邮件服务器上,的多个恶意软件正在回传数据。(下图)

红色数字表示判定该可执行文件为恶意软件的防病毒引擎的数量
与波音电子邮件服务器通信的恶意软件的许多实例之一


由于电子邮件服务器明显被入侵并且缺乏 DMARC 保护,库贝卡怀疑受感染的,电子邮件服务器被用于泄露敏感的知识产权,包括民用客机以及波音出售给美军的飞机,中使用的代码。

甚至,波音公司的供应商,门户网站 Aviation ID 也存在很多安全问题,包括跨站点脚本 (XSS) 漏洞以及不良的凭证,和身份验证标准。有问题的门户网站登录,代码由外包商 Exostar 提供,其软件广泛用于航空,航天和国防领域。Exostar 的网站拥有英国国防部,英国国防部,波音,巴西航空工业公司,洛克希德·马丁公司,诺斯拉普·格鲁曼公司,雷神公司以及许多,其他公司的客户。

漏洞披露程序的漏洞

在过去的几周中,波音公司启动了,漏洞披露程序 (VDP),以使善意的安全研究人员更,轻松地共享发现。波音在一份声明表示:与行业发展方向和我们,与安全研究界的广泛合作一致,波音公司最近发布了,一个漏洞披露政策,以使第三方能够安全、负责地向公司报告,安全漏洞。

波音公司的一位,发言人证实,签署了 “研究人员参加波音公司的漏洞,披露政策并不需要保密协议”。这是向前迈出的积极一步。但是,新 VDP 的其他方面令人担忧。

颇具讽刺意味的是,波音的 VDP 网页未使用 TLS 证书加密(以启用 HTTPS),这意味着攻击者可以识别,正在查看该网页的人员,修改网页以更改漏洞,汇报的电子邮件地址 (VulnerabilityDisclosure@boeing.com)。此外,发布在波音网站上的 PGP 密钥是无效的公共密钥。CSO 尝试使用该密钥向波音,发送测试消息,但是其公钥格式错误,并且未被识别为有效的 PGP 公钥。

不知道是不是受了波音漏洞,事件的刺激,CISA 上周发布了一份指导草案,要求所有民间机构设立对安全人员友,好的漏洞披露规则,这是业界首个为白帽子 “撑腰” 的官方引导政策。
相关阅读
波音787机载计算机网络易受远程攻击影响

波音飞机零件供应商遭黑客劫走5千万欧元



    关注 安全牛


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册