Adviesraad waarschuwt voor gevaar van wifi in vliegtuigen
Een adviesorgaan van de Amerikaanse overheid heeft in een nieuw rapport gewaarschuwd voor het gevaar van wifi in vliegtuigen, waardoor het in theorie mogelijk zou zijn voor een aanvaller om ongeautoriseerde toegang tot de vliegtuigelektronica te krijgen. De onderzoekers van de U.S. Government Accountability Office (GOA) stellen dat moderne vliegtuigen steeds vaker met internet verbonden, wat risico's met zich meebrengt.
Vliegtuiginformatiesystemen bestaan uit de vliegtuigelektronica voor de besturing en de entertainmentsystemen voor de passagiers. Traditioneel zijn de systemen voor het vliegen en de besturing geïsoleerd van het entertainmentsysteem. De onderzoekers spraken met de Amerikaanse luchtvaartautoriteit FAA en experts, die lieten weten dat IP-netwerken een aanvaller toch toegang tot deze systemen kunnen geven.
Er zijn wel firewalls om de vliegtuigelektronica tegen aanvallen vanaf de entertainmentsystemen te beschermen, maar vier experts stellen dat firewalls gehackt en omzeild kunnen worden. Als de entertainmentsystemen bijvoorbeeld dezelfde router als de vliegtuigelektronica delen en hetzelfde netwerkplatform gebruiken, kan een gebruiker de firewall omzeilen of aanvallen en toegang tot de vliegtuigelektronica krijgen.
Een functionaris van de FAA laat weten dat aanvullende beveiligingscontroles het systeem kunnen versterken. Volgens de onderzoekers moet er echter op verschillende punten actie worden ondernomen. Zo pleiten ze voor de ontwikkeling van een cyberdreigingsmodel, moet er worden gezorgd dat het Office of Safety (AVS) van de FAA, dat zich met het certificeren van internetsystemen in vliegtuigen bezighoudt, onderdeel van een recent opgericht cybercomité wordt en moeten er richtlijnen van het NIST worden geïmplementeerd.
Waarom zou je die systemen verbinden? Hoe duur is een tweede internet antenne/abo per vliegtuig om dit niet standaard te doen?
Maak een aantal aparte VLANs zou ik zeggen. Op IP nivo hoef je helemaal niks te koppelen tussen passagiers en cabin.
Maak een aantal aparte VLANs zou ik zeggen. Op IP nivo hoef je helemaal niks te koppelen tussen passagiers en cabin.
En welke vorm van authenticatie gebuiken vlans? juist ja geen... er is geen mechanisme die checkt of de vlan tag in een ip pakket van een geauthoriseerde gebruiker komt.
Totaal gescheiden systemen is het enige wat werkt in deze.
Waar hadden we dat in Noord-Nederland nou ook alweer aan de hand.
Waarom zou je die systemen verbinden? Hoe duur is een tweede internet antenne/abo per vliegtuig om dit niet standaard te doen?
In een rapportage van Boeing van een paar jaar geleden was te zien dat er voor wifi een compleet separaat systeem, inclusief externe antenne voor verbinding met internet, werd aangelegd. Voor de vliegtuigsystemen, die al een verbinding naar buiten hebben, verandert er dan niets.
Al zou ik me kunnen voorstellen dat iemand in een onbewaakt moment kan besluiten in een nieuw vliegtuig om dat, uit kostenoogpunt, samen te nemen.
Peter
Maak een aantal aparte VLANs zou ik zeggen. Op IP nivo hoef je helemaal niks te koppelen tussen passagiers en cabin.
En welke vorm van authenticatie gebuiken vlans? juist ja geen... er is geen mechanisme die checkt of de vlan tag in een ip pakket van een geauthoriseerde gebruiker komt.
Niet bij jouw hobbyswitch, maar bij goede switches wel.
Maak een aantal aparte VLANs zou ik zeggen. Op IP nivo hoef je helemaal niks te koppelen tussen passagiers en cabin.
En welke vorm van authenticatie gebuiken vlans? juist ja geen... er is geen mechanisme die checkt of de vlan tag in een ip pakket van een geauthoriseerde gebruiker komt.
Niet bij jouw hobbyswitch, maar bij goede switches wel.
Daarnaast kunnen exploits waarmee een aanvaller (gedeeltelijke) beheertoegang krijgt tot netwerkapparatuur nooit 100% worden uitgesloten.
Een groter risico wellicht vormen DoS aanvallen. Bijv. Cisco brengt regelmatig patches uit die DoS aanvallen moeten helpen voorkomen. Als DoS een risico vormt (wat ik me kan voorstellen in vliegtuigen): gebruik fysieke scheiding.
Zelf heb ik, vele jaren terug, een keer een groot netwerk (op alle VLAN's) zien instorten doordat een defecte NIC op aan een van de VLAN's in hoog tempo random bytes (dus ook afzender ethernetadressen) stond te verzenden. Ik heb echter geen idee of dergelijke ellende in moderne netwerkapparatur nog voor problemen zorgt.
Maak een aantal aparte VLANs zou ik zeggen. Op IP nivo hoef je helemaal niks te koppelen tussen passagiers en cabin.
En welke vorm van authenticatie gebuiken vlans? juist ja geen... er is geen mechanisme die checkt of de vlan tag in een ip pakket van een geauthoriseerde gebruiker komt.
Niet bij jouw hobbyswitch, maar bij goede switches wel.
HP Procurve manageable layer 3/4 zijn geen hobby switches meer... of juist wel voor de gevorderde hobbyist die niet bang is voor een CLI...
Vlans doen geen enkele check op het wel of niet authentic van de VLAN tag. Binnen een VLAN kan wel weer sprake zijn van 802.1x authentication.
Ik hoop toch echt dat je het bij het verkeerde eind hebt. Want anders hoeven we niet meer op de Russen te wachten om onze passagiersvliegtuigen te "downen".
Waar de industrie in zijn algemeenheid geen gevoel/kennis voor heeft is de juiste afweging tussen risico en winst. Wanneer men voor de keuze staat een overigens eenvoudige oplossing te implementeren die operationeel wel veel geld kost en het risico kost minder dan dat de oplossing kost, zal men over het algemeen ervoor kiezen om de oplossing niet te implementeren. Tenzij de industrie er door onafhankelijke autoriteiten toch tot wordt gedwongen.
Net als die switch deskundigen. Even leren hoe je je switch dicht timmert tegen ongevraagde getagde pakketjes.
Mag het please echt dedicated losse apparatuur zijn. VLAN's zijn nou ook niet bepaald niet te omzeilen.
En vervolgens heb je bijvoorbeeld in een firmware update een nieuwe kwetsbaarheid, die nog niet bekend is, of waar nog geen patch voor geinstalleerd is / beschikbaar is. Hoe ga je je daar tegen beveiligen ? Of beveilig jij tegen ''all threats, known and unknown'' ? ;)
Voor sabotage hoef je verder geen VLAN tagging of dat soort zaken te gebruiken. De availability van apparatuur aanvallen, om te zorgen dat apparatuur crasht, is in dat geval bijvoorbeeld al genoeg. Een airgap lijkt mij nog altijd vele malen beter dan gebruik maken van VLANs, met best practices op security gebied.
Het kostenaspect (economisch belang) gaat buiten de ontwikkelaars om. De ontwikkelaar gaat voor de functionaliteit, security by design is iets voor achteraf. http://www.flightglobal.com/news/articles/wi-fi-interference-with-honeywell-avionics-prompts-boeing-354179/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.