Коли минулої зими мені довелося писати про « кібернетичне 11 вересня »(Уявний великий терористичний акт, організований за допомогою експлуатації вразливостей в цивільних ІТ-системах), головним контраргументом проти можливості такої події була незалежність критичної комунальної інфраструктури від комп'ютерів. Простіше кажучи, втопити кілька багатоповерхівок в окропі, вломилися на «сервер» насосної станції і відкривши засувки з гарячою водою, не вийде - не тому навіть, що окріп по команді комп'ютера на вулиці, швидше за все, не поллється, а вже через відсутність самого такого сервера. Однак з тих пір практика підкинула кілька цікавих прикладів, які схиляють ваги в цій суперечці на користь прихильників «кіберапокаліпсіса». Останній з'явився буквально на днях. Хоч краєм вуха, але ви напевно вже чули, що іспанська спец по кібербезпеки Хьюго Тесо продемонстрував перехоплення управління авіалайнером за допомогою звичайного смартфона. Найсмачніше в цій історії - деталі, якими автор щедро ділився на security-конференції HITBSecConf.

Тесо - ще й професійний пілот. Так що доріжка в цифрові надра літака для нього була визначена. І три роки тому він поставив собі за мету довести, що і маленька Cessna, і величезний Airbus можуть стати іграшкою в руках підготовленого чорного хакера. Перебравши доступні варіанти, Хьюго зупинився на трьох ключових «залозках», присутніх сьогодні в багатьох літаках цивільної авіації. Перша з них - приймач-передавач ADS-B ( «автоматичного залежного спостереження-мовлення»).

Якщо в XX столітті радар був головним інструментом для моніторингу ситуації в повітряному океані, сьогодні його тіснять «розумні» технології, що дозволяють більш точно, гнучко, а значить, і безпечно супроводжувати авіасудів. ADS-B якраз є один із прикладів такої заміни, який отримав міжнародне визнання завдяки безкоштовності і відкритості. В основі своїй це дуже проста штука, яка спирається на цифровий обмін даними через радіоефір в діапазоні близько тисячі мегагерц. Літаки, що знаходяться в повітрі, безперервно сповіщають оточуючих про своє становище і курсі (координати обчислюються за допомогою GPS), а наземні служби, в свою чергу, збирають цю інформацію і видають у відповідь загальне зведення про стан в підконтрольному їм ділянці повітряного простору. Оскільки сигнали ADS-B не зашифровано, слухати їх можуть усі бажаючі, у яких є необхідне обладнання. Цікаво? Ви можете подивитися на Flightradar24.com , Де на основі інформації, зібраної приймачами ентузіастів, складається глобальна реалтаймовая карта польотів.

Для Тесо, намацував вразливі місця в авіаінфраструктуру, ADS-B стала ідеальним «навідником». З її допомогою можна в будь-яку секунду точно дізнатися, де саме в тривимірному просторі знаходиться потрібний борт, куди він прямує, з якою швидкістю і т.д. Формально вона ж може бути і вектором для атаки, але для цієї мети Тесо обрав іншу, більш давню технологію - ACARS. Якщо ADS-B ще тільки впроваджується (в Європі він коштує на 70 відсотках літаків, в США - поки тільки на кожному третьому), то ACARS служить цивільної авіації з 80-х років минулого століття. Це система повільної (2400 бод: як найперші модеми) цифрового зв'язку, що дозволяє літакам і наземним службам обмінюватися короткими текстовими повідомленнями і, що важливіше, пакетами даних для бортового комп'ютера (FMS - Flight Management System, на який зав'язані всі ниточки управління на борту) . В якості останнього Тесо обрав популярну модель від Honeywell.

Щоб не піддавати ризику життя людей, Тесо побудував цифрову модель літака у себе вдома. Honeywell FMC і ящик ACARS він придбав задешево на eBay. Для візуалізації використовувався популярний авіасимулятор X-Plane. Відправка підроблених повідомлень велася за допомогою пристрою SDR (Software-Defined Radio - чіпляється до комп'ютера радіостанція, параметри якої можуть варіюватися в дуже широкому діапазоні завдяки цифровому управлінню на найглибшому рівні, аж до нюансів процесу генерації і прийому). Все це, включаючи Android-смартфон, на якому працювало написане Хьюго атакуючий додаток, вмістилося на робочому столі.

Завдання, поставлене Хьюго: орієнтуючись на показання ADS-B обраного літака, сформувати і передати в ефір ACARS-пакети, прийом яких призведе до небезпечної поведінки FMS і / або неадекватної реакції пілотів. Теоретично для цього потрібно лише змусити бортовий комп'ютер повірити, що підроблені пакети були відправлені наземної авіаслужбами. І ось тут нашого героя чекав неприємний сюрприз: ні ADS-B, ні тим більше ACARS, ні загальна архітектура FMS не мають ніяких засобів захисту від підробки. Описуючи становище з захищеністю цих систем, Тесо (великий жартівник) використовує вираз «facewall»: захищеність нульова, її просто немає. Уявіть себе - з сьогоднішніми знаннями - потрапили в 80-і роки: інтернет-залізо проектується тільки з прицілом на працездатність, про безпеку ніхто і не замислюється. Ось в такій малині виявився Тесо. ADS-B, ACARS, FMS не передбачають ніяких перевірок, від кого надійшло ту чи іншу повідомлення, а тому схильні до всіх мислимих атакам, починаючи від банального підслуховування і закінчуючи DDoS і Спуфінга.

Що можна зробити з літаком таким чином? Згодувавши бортовому комп'ютеру некоректні дані, можна змусити його змінити курс, поміняти висоту, направити на зіткнення з іншим бортом, почати блимати зовнішніми вогнями, викинути повітряні маски - і багато, багато іншого. Якісь дії виконає автопілот, якісь - втрутився, але орієнтується на помилкові свідчення індикаторів капітан, якісь змусить зробити сам бортовий комп'ютер, в програмному забезпеченні якого Тесо відшукав уразливості. Будь-яке несанкціоноване, несподівана дія, коли на борту сотні людей, стає потенційно катастрофічним. На конференції Тесо продемонстрував деякі атаки наживо, на своєму настільному комплексі. Але розкривати найцінніші подробиці, зокрема щодо виявлених ним у авіасофте «дірок», не став: за його словами, після незначної модифікації написане ним додаток може бути застосоване в реальності, проти справжніх літаків, а тому першими він довів до відома виробників авіаустаткування і авіарегуляторов Європи і США.

Треба сказати, експерти (у тому числі Федеральне управління авіації США і Європейське агентство безпеки польотів) поспішили розвіяти страхи. За словами їхніх представників, на «справжньому, сертифікованому залозі» трюки Хьюго Тесо не пройдуть. На відміну від зібраного на столі симулятора, де пристрої, програмне забезпечення та протоколи справжні, але немає допоміжної обвески, в літаках безпека забезпечується високим рівнем функціональної надмірності і захисними надбудовами (грубо кажучи, вимикачами, які не дозволять звалити лайнер в штопор одним тільки підробленими ACARS -пакети). Проте в приватних бесідах із самим Тесо вони (так само як і виробники) проявили надзвичайну зацікавленість і навіть запропонували сприяння в подальших дослідженнях. А колеги Тесо (він працює на німецьку N.Runs AG) підтверджують його слова, що схему атаки потрібно лише трохи змінити, щоб вона спрацювала «в повітрі».

Втім, надамо фахівцям судити про реальну небезпеку виявлених Тесо лазівок. Нам важливіше два загальні висновки, які можна зробити з цієї історії. По-перше, про слабку або відсутньої захищеності «неайтішних» ІТ-систем. На відміну від світу персоналок, де конкуренція жорстока і прогрес стрімкий, закриті від широкої публіки цифрові системи еволюціонують за своїми неспішним законам. Тут виходять із припущення, що користуватися продуктом належить тільки професіоналам, які, природно, не стануть використовувати їх на шкоду. А тому в них є і «дірки», які ніхто не шукає (Хьюго Тесо відшукав кілька таких в конкретної реалізації FMS), і відсутність перевірок на вході (ADS-B, ACARS не мають механізмів перевірки походження прийнятих пакетів). Природно припустити, що це правило справедливо для всіх - назвемо їх комунальними - ІТ-систем, обивателя обслуговуючих, але безпосередньо обивателю недоступних.

А з доступністю якраз пов'язане друге спостереження: ступінь залученості комунальних ІТ-систем в глобальні комунікації постійно зростає. ACARS ще в змозі працювати самостійно, але щоб задіяти весь потенціал ADS-B, вже необхідна GPS і корисна координація з іншими учасниками через Мережу. І точно так само справа йде з будь-якими іншими комунальними системами. Ви можете подивитися на Shodanhq.com . Це спеціалізована пошукова система, що індексує різного роду допоміжні пристрої, підключені до інтернету. Там можна відшукати і звичайні веб-камери, роутери, принтери, а й сотні мільйонів більше екзотичних залозок на кшталт світлофорів, компонентів розумних будинків, кліматичних систем, наукового обладнання, атракціонів в парках розваг, бензозаправок і т.д. і т.п. (До речі, швидкий пошук за словом «ADS-B» видає кілька тисяч результатів). Багато з них - цілком очікувано - не вимагають пароля або використовують дефолтовий: власники, очевидно, не припускали, що доступ може знадобитися комусь, крім них самих.

А тепер подумки об'єднайте все це і погодьтеся, що картина вимальовується як мінімум неприємна. Поки ще терористи підривають бомби. Але вже сьогодні вони можуть використовувати проти суспільства обслуговують нас комунальні системи. Як саме, я не знаю, в кожному конкретному випадку доведеться включати фантазію. Питання в тому, чи повинні ми чекати, поки хтось на кшталт Хьюго Тесо, але рухомий іншими міркуваннями, направить фантазію цим курсом.