本周二早晨,美国联合航空公司所有航班都被下令不得起飞,将近一个小时之后才解除禁飞令。官方解释是调度信息出问题,非外部原因导致。但有些乘客发推特声称,飞机上的工作人员告之因黑客入侵,导致系统弹出伪造的飞行计划。
自从安全研究人员克里斯·罗伯茨在飞机上发推特,说是要黑掉飞机之后,安全圈对于此事的争论就一直没有停息。但大部人还是认为美国联邦调查局大惊小怪,联合航空禁止他以后乘坐飞机的决定更是反应过激。虽然也有人半信半疑,尤其那些是喜爱炒作的媒体和宁可信其有不可信其无的外行人。但之后的事情似乎又起了变化。
FBI书面陈述
上个月,联邦调查局(FBI)提交到法庭的书面陈述声称,罗伯特承认曾入侵其乘坐飞机的飞行娱乐系统,并轻微改变其航向。这份正式提交到联邦地方法庭的书面陈述改变了一些人对FBI的不屑态度,并转向对罗伯茨的愤怒。
一个职业安全人员怎么能将乘客的生命安全弃之不顾,对正在飞行中的飞机进行非法的网络系统渗透测试呢?
不过,还是有一些人对FBI的书面陈述产生置疑。他们认为,要么是FBI理解错了罗伯茨的话语,要么就是罗在吹牛。波音官方和第三方航空专家声称,FBI的书面陈述在技术上是不可能的。
当这些系统接收(飞机)位置数据并建立通信连接时,飞机上执行关键和基本功能的系统是与之隔离的。
这个声明听起来有些令人费解。到底航空系统与娱乐网络是连着的还是隔离的?而且如果是连接的,波音又怎能断定黑客无法从娱乐系统进入航空系统进而操纵飞机?要知道,,美国政府问责办公室(GAO)就在今年两次发报告警告美国商业飞机容易遭到黑客攻击。
看来此事并非空穴来风,那我们只好仔细的研究一下FBI的这份书面陈述了。
按照联邦法院公开的文档,FBI特工马克·赫雷在5月份拿到搜查证得以搜查罗伯茨的计算机。罗伯茨配合调查时告诉他,自己在某架航班上访问过飞行娱乐系统(IFE),并访问了“推进管理计算机”(TMC)。这台设备与自动驾驶协同工作,计算不同情况下引擎的动力并予以维持。
文档中还表示,罗伯茨发送了一个“爬升命令”,“引起飞机的一部引擎爬升,造成飞机侧飞或斜飞。”
许多人对“侧飞”提出异议,觉得大型客机做出这种动作不大可能。但联邦航空署的一位前调查人员大卫·索西认为,陈述中所说的“侧飞”很可能是指飞机头由于一个引擎的推动被稍稍改变了一下方向而已,这种情形在没有接入自动驾驶的情况下是可以发生的。
索西表示,如果一侧的引擎推进力增加,会产生扭矩而造成飞机失衡。但飞机的设计会补偿这种情况以保持平衡,“你可以关掉一个引擎,另一个引擎开启全速推进,飞机也不会翻过来,或是侧飞。”即使像通常那样,在巡航高度接入自动驾驶,在发生这种情况时,计算机也能查觉到某个引擎的推进,并给予修正以保持飞机航向。如果自动驾驶被关掉,推进力“会令机翼下沉”,轻微的拉动飞机。要达到这一点,“你必须真得去调节油门,以改变原来的航向,而这是会引起乘客注意的。”飞机头会轻微的往引擎推进相反的方向改变。
然而,是否能够从乘客座位上发送命令造成这种现象,则是另一回事。索西与波音的观点一致,不可能。但与波音不一样的是,索西把原因讲得很清楚。
有着8年工作经验的波音前首席工程师彼特·莱姆表示,提供自动油门功能的系统实际上控制着引擎推进,其并不允许其中一个引擎油门独立操作运行。
“自动油门要把引擎保持在一起,不会分开引擎。唯一(有效)的指令是把他们联在一起,而不是把它们分开。”因此,罗伯茨无法发送让一个引擎推进的指令,也没有这样的指令。
入侵系统以控制引擎推动唯一的方法就是访问装有控制系统的设备,并且对其油门软件进行重新编程。但这个设备是无法重新编程的,它有着各种各样联动机制,以确保软件无法在飞行中被改变。而且,如果自动油门真的出了问题,飞行员也会立刻掌控飞机的。“飞行员能够控制油门,手动操作控制权要大于计算机。”
那么,如果罗伯茨不能改变引擎推动力,但他至少能够访问航空系统来做其他的事情吗?索西和莱姆的回答是“不”。#p#
飞行娱乐系统(IFE)
按照FBI的书面陈述,罗伯茨册通过IFE访问到的推进管理系统。他在松下和泰利斯(法国电子企业,生产各种国防和航空工业的安全产品和组件)生产的两套系统中发现了一些漏洞。在至少15次飞行中,罗伯茨通过座椅底下安装的电子盒(SEB)入侵了IEF。他通过“挤压和扭动”盖子以打开电子盒,然后把一根端口经过改装的Cat6以太网线接到盒子上,另一端插在他的笔记本电脑。至少在一次飞行中,他利用默认的ID和口令访问IFE,然后设法进入推进管理系统的计算机。
IFE通过嵌入在椅背、扶手或天花板上的屏幕为乘客提供音频和视频娱乐,这些显示屏还可以显示飞机的飞行路线、速度与当前位置的动态地图。航空系统与IFE之间的确存在连接,但是这个连接是有限制的。
索西和莱姆认为,这个连接只允许单向数据通信。两个系统之间通过ARINC429数据总线连接,通过这个链接把航空系统的信息传递给IFE,包括飞机的纬度、经度和速度。IFE再把这些数据进行处理,最终得以让乘客在地图上看到飞机的运动状况。
莱姆表示,“在每架飞机上都有点不一样的地方,各自的处理方式不同。”但无论怎样,ARINC429是一台只允许接收来自航空系统数据的设备,不可以逆向返回。想要回传数据的话,必须增加一台输入的总线设备。“我无法想像为什么要增加一台这样的交互设备,即使有的话,我也从未听说过。”
我严重怀疑他(指罗伯茨)能突破IFE系统之外。
技术分析人员解释的情况似乎与波音公司在官方声明中描述的一样,“接收位置数据并建立通信连接”到飞机上其他的系统,但它们与执行关键功能的系统是“隔离的”。事情至此,似乎可以认为飞机的航空控制系统是安全的了。但是,网上发现的另一份文档再次让事情变得复杂起来。
一份波音官方网站上公开的介绍文档显示,波音777系列使用的是ARINC629总线设备,而这种设备是双向通信的。
777系统中的一个关键部分就是波音取得专利的双向数据总线ARINC629,此专利已被当做新的行业标准采用。它允许飞机系统和关联的计算机彼此共用一条线路(缠绕着的一对线)通信,而不是分开的单向线路连接。这进一步简化了安装并减轻了重量,同时也由于降低了线路及其连接器的使用量而增加了系统的可靠性。777系统中有11套ARINC629。
然而,并不清楚ARINC629是否仅用航空系统中关键组件之间的通信,或者这样说,是否被用来在航空系统与非关键系统比如IFE之间的通信。波音公司并没有对这样的问题做出回答。
不过,莱姆认为波音公司是否回答这个问题并不重要。因为即使数据可以从IFE发往航空系统,后者也会拒绝接收。因为在航空系统的编程规则中已经把IFE设为不受信任的系统,是不应该给关键系统发送数据的。
“作为系统需要的一部分,数据交换规则都是预先编制好的,每一台发射器或接收器都会以特定的速率提供特定的数据。每台接收装置都会检测数据的合法性,是否应该接收。”
因此问题的关键是,编程规则的限制是否在航空软件中正确的实施以拒绝不合法的通信。莱姆表示,航空系统设计都是按照严格的标准并经过大量的代码评审和测试的,以确保某些系统不可以与关键系统会话。
“大家猜测,如果系统没有100%正确实施的话,就有可能会留下漏洞,导致能够访问关键系统。但我并不相信有这种漏洞存在。我的确相信可以有办法进入设备,但我不相信能在飞行中控制设备。因为这样做必须对设备重新编程。”
莱姆指出,也许现在有一些飞机使用以太连接来代替ARINC429,把航空系统发来的数据传送给IFE。但如果有这种设计的话,在航空系统和IFE之前也肯定会部署一个设备,以确保数据安全的传递给IFE,同时禁止数据从IFE返回给航空系统。
网上可以查询到由航空电子工程委员会飞行器数据网络工作组主席简鲍罗·摩罗克斯做的一个PPT文件。这份2004年或之后撰写的文档讨论了把ARINC429转成以太网的建议,但这份建议是否被接受并实施目前尚不得而知。但莱姆认为,尽管一些飞机可能在航空系统中使用以太网,他们也会使用一种称之为“航空完全双工网关”的以太网。这种设备是Airbus的专利,并且只用于航空系统的关键组件中,而不是用于IFE或其他非关键系统中。
卫星通信系统
罗伯茨曾在4月份的一次采访中表示,他发现了漏洞得以从卫星通信系统(SATCOM)进入IFE和机舱管理系统,其中一个驾驶舱管理系统负责控制乘客使用的氧气罩。罗伯茨表示,他能够触发氧气罩部署,但他并没有这样做。罗伯茨还认为可以通过机舱管理系统访问航空系统,但他并没有确认这一点。
前文中FBI的那份书面陈述并没有提及卫星通信系统,但莱姆表示罗伯茨通过卫星通信系统也同样不能访问航空设备。
卫星通信系统通常安装在飞机后部的天花板上,通过线路连接到驾驶舱飞行面板底下的航空系统设备。包括经度、纬度和速度等飞行数据通过一台ARINC429(与IFE通信的429不同)发送给卫星通信系统。后者使用这些数据来调整飞机顶部的天线,以发送无线电信号给最近方向的卫星。莱姆和一位长期私人飞机驾驶员,前某卫星通信公司的所有人迈克尔·伊克斯纳均表示,这些数据也是单向的。
航空系统还有一条单独的数据链路通往卫星通信系统,用来与地面互动传送来自ACARS管理系统的数据,这个接口是双向的,允许信息出入飞机。而且,卫星通信系统也会单独的把乘客通信信息发给地面,如信用卡交易、互联网访问和电子邮件。
莱姆表示,所有在航空系统与卫星通信系统,IFE与卫星系统之间的通信都是通过单独的、专用的无线频道。“我们有专门为乘客机舱使用的和专门为飞行员使用的无线电,它们是物理隔离的,不可能有交集。”
因此,通过卫星通信系统控制飞机的理论也说不通。
吹牛大王?
所有的这些内容似乎都说明了,罗伯茨不可能黑进飞机的推进系统,进而操纵飞机。无论是通过IFE,还是卫星通信,或是其他什么系统。但话又说回来,FBI的书面陈述该如何解释呢?
罗伯茨曾表示,FBI的书面陈述是断章取义的。他与FBI有过多次谈话,陈述中把谈话内容的一小部分强调了出来。也就是说,FBI是经过精挑细选,并且前后混合了罗伯茨的语言。
伊克斯纳与罗伯茨曾在5月初一起吃午饭,聊了很长时间。伊克斯纳直截了当的问罗伯茨,是否真的控制过一架飞行中的飞机。“他说不,他说事情将会让我相信他是在仿真环境下做的,而不是在一架真飞机上。”至于罗伯茨到底在真实飞行中做过什么,伊克斯纳表示:“我严重怀疑他能突破IFE系统之外。”
他觉得罗伯茨可能侵入了IFE,“而且相信自己看到了看起来像是来自其他网络的大量流量,但很可能没有回去的通道。不过,这主要是我自己猜测的。”伊克斯纳表示罗伯茨的话通常都带着讽刺意味,很难从语法上区分哪句是真的哪句是假的。“他说过的话有很多不能当真,我觉得FBI的书面陈述就是他这种混乱沟通方式的结果。”
但罗伯茨坚持他检测的飞机网络是可以被入侵的,而波音公司则继续坚持航空系统至少是入侵不了的。最终,除非罗伯茨确认无疑的把他所说的漏洞披露出来,并且解释他是如何进入航空系统的,否则一切都是空谈。波音公司可以保证它的飞机网络是安全的以打消人们的疑问,但波音至今为止拒绝公开发表这些言论。
不管罗伯茨是否入侵了飞机,莱姆认为有一件事情是确认无疑的。“乘客去连接他们不该连接的东西……我们至少可以说这是在干坏事,无异于拿着一把锤子在飞机上敲打。这显然是犯罪行为,而不是一次偶然的练习。”
原文地址:http://www.aqniu.com/news/8060.html