image

Onderzoekers weten Boeing 757 op afstand te hacken

zondag 12 november 2017, 08:48 door Redactie, 14 reacties

Een team van beveiligingsonderzoekers onder leiding van het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) is er vorig jaar in geslaagd om een Boeing 757 op afstand te hacken. Dat heeft Robert Hickey van de cybersecuritydivisie van het DHS deze week tijdens een veiligheidsconferentie in Virginia laten weten, zo meldt luchtvaartwebsite Avionics.

De hack gebeurde buiten een zogeheten laboratoriumsetting. "We kregen het vliegtuig op 19 september 2016. Twee dagen later wist ik op afstand, zonder medewerking, binnen te dringen", aldus Hickey. Hij merkte op dat geen van de teamleden fysiek contact had met het toestel of dat er een insider bij de hack was betrokken. Hickey wil geen details over de hack vrijgeven, maar laat weten dat zijn team via radiofrequentie toegang wist te krijgen. "Gebaseerd op de radiofrequentieconfiguratie van de meeste vliegtuigen kun je vrij snel achterhalen waar we in het vliegtuig naar toe gingen", aldus de functionaris.

Volgens Hickey is het belangrijk om luchtvaartsystemen en vliegtuigen ook als onderdeel van de vitale infrastructuur te beschouwen. Het verhelpen van kwetsbaarheden in luchtvaartsystemen is echter een kostbare aangelegenheid die veel tijd in beslag kan nemen. Het aanpassen van een regel code in luchtvaartapparatuur zou 1 miljoen dollar kosten en jaren duren voordat het is geïmplementeerd. Informatie over de hack werd eerder dit jaar met piloten van American Airlines en Delta Air Lines gedeeld. Het vliegtuig was door het ministerie voor onderzoek aangeschaft. Het persoonlijke vliegtuig van de Amerikaanse president Donald Trump is een Boeing 757.

Reacties (14)
12-11-2017, 10:51 door Anoniem
Dit is het punt waar deze hopeloos slechte berichtgeving gewoon gevaarlijk wordt.

Want "hacken" betekent niets behalve het aanroepen van "hackers", oftewel de "cyber-boeman" waarvan we niet weten wat'ie allemaal wel of niet(!) kan maar hij zit potentieel mogelijk wellicht mischien vast wel onder je digitale bed! Vandaar ook dat de meeste "oplossingen" voor "hacken", malware, en al het andere duistere dat op je loert in de interwebbertubes bestaan uit een digitaal dekentje waar je je onder kan verstoppen. Dat is verre van wetenschappelijk, rigoreus, systematisch, of zelfs maar effectief.

En dat gedrag wordt ronduit gevaarlijk als er lijnvliegtuigen uit de lucht kunnen vallen. Dus vertel wat je echt weet, en verberg je niet achter dat boemanjargon. Doe je dat wel ben je crimineel incompetent bezig. En ja, zo ongeveer de hele security industrie inclusief de DHS is schuldig aan deze crimineel onverantwoordelijke activiteit.
12-11-2017, 11:43 door Anoniem
Door Anoniem: Dit is het punt waar deze hopeloos slechte berichtgeving gewoon gevaarlijk wordt.

Want "hacken" betekent niets behalve het aanroepen van "hackers", oftewel de "cyber-boeman" waarvan we niet weten wat'ie allemaal wel of niet(!) kan maar hij zit potentieel mogelijk wellicht mischien vast wel onder je digitale bed! Vandaar ook dat de meeste "oplossingen" voor "hacken", malware, en al het andere duistere dat op je loert in de interwebbertubes bestaan uit een digitaal dekentje waar je je onder kan verstoppen. Dat is verre van wetenschappelijk, rigoreus, systematisch, of zelfs maar effectief.

En dat gedrag wordt ronduit gevaarlijk als er lijnvliegtuigen uit de lucht kunnen vallen. Dus vertel wat je echt weet, en verberg je niet achter dat boemanjargon. Doe je dat wel ben je crimineel incompetent bezig. En ja, zo ongeveer de hele security industrie inclusief de DHS is schuldig aan deze crimineel onverantwoordelijke activiteit.
Ligt het aan mij, of is deze tekst moeilijk te volgen?
12-11-2017, 12:11 door Anoniem
@Anoniem (10:51) Er valt voor mij geen touw vast te knopen aan je relaas. Wat is er precies slecht of onjuist aan dit bericht?
12-11-2017, 13:39 door Anoniem
Ik denk niet dat het het entertainment system was om illegaal filmpjes te downloaden.
12-11-2017, 13:40 door [Account Verwijderd] - Bijgewerkt: 12-11-2017, 13:40
Totaal onbegrijpelijke gibberish.
12-11-2017, 13:55 door Anoniem
Door Anoniem: Dit is het punt waar deze hopeloos slechte berichtgeving gewoon gevaarlijk wordt.

Want "hacken" betekent niets behalve het aanroepen van "hackers", oftewel de "cyber-boeman" waarvan we niet weten wat'ie allemaal wel of niet(!) kan maar hij zit potentieel mogelijk wellicht mischien vast wel onder je digitale bed! Vandaar ook dat de meeste "oplossingen" voor "hacken", malware, en al het andere duistere dat op je loert in de interwebbertubes bestaan uit een digitaal dekentje waar je je onder kan verstoppen. Dat is verre van wetenschappelijk, rigoreus, systematisch, of zelfs maar effectief.

En dat gedrag wordt ronduit gevaarlijk als er lijnvliegtuigen uit de lucht kunnen vallen. Dus vertel wat je echt weet, en verberg je niet achter dat boemanjargon. Doe je dat wel ben je crimineel incompetent bezig. En ja, zo ongeveer de hele security industrie inclusief de DHS is schuldig aan deze crimineel onverantwoordelijke activiteit.

Eerlijk gezegd vind ik reacties zoals deze gevaarlijker dan het onderzoek in kwestie. Onderzoek is gedegen, jouw reactie raakt kant noch wal want je geeft niet aan wat jouw bronnen zijn. Neigt naar trollen en smaakmakerij.

Terug naar de realiteit: dit is inderdaad een gevaarlijke ontwikkeling wat er al wel aan zat te komen. Na de auto-industrie is nu de vliegtuig-industrie aan de beurt omdat alles maar zoveel mogelijk op afstand gemanaged moet worden. Achtergrond hiervan is overigens dat men toe wil groeien naar zogenaamd Performance Based Logistics: pas onderhoud uitvoeren als een onderdeel op punt staat kapot te gaan ipv op basis van preventief onderhoud. Iets waar men met name in de vliegwereld meer op is gefocust vanwege kostenbeheersing.
12-11-2017, 14:31 door Anoniem
Door Anoniem: Ik denk niet dat het het entertainment system was ...
Zou zo maar kunnen dat de 'onderzoekers' alleen dat konden 'hacken' (= inlogvenster benaderen).
12-11-2017, 14:51 door Anoniem
"If it's a boing I'm not going."
12-11-2017, 15:30 door karma4 - Bijgewerkt: 12-11-2017, 20:02
Door Anoniem:
Door Anoniem: Dit is het punt waar deze hopeloos slechte berichtgeving gewoon gevaarlijk wordt.

Want "hacken" betekent niets behalve het aanroepen van "hackers", oftewel de "cyber-boeman" waarvan we niet weten wat'ie allemaal wel of niet(!) kan maar hij zit potentieel mogelijk wellicht mischien vast wel onder je digitale bed! Vandaar ook dat de meeste "oplossingen" voor "hacken", malware, en al het andere duistere dat op je loert in de interwebbertubes bestaan uit een digitaal dekentje waar je je onder kan verstoppen. Dat is verre van wetenschappelijk, rigoreus, systematisch, of zelfs maar effectief.

En dat gedrag wordt ronduit gevaarlijk als er lijnvliegtuigen uit de lucht kunnen vallen. Dus vertel wat je echt weet, en verberg je niet achter dat boemanjargon. Doe je dat wel ben je crimineel incompetent bezig. En ja, zo ongeveer de hele security industrie inclusief de DHS is schuldig aan deze crimineel onverantwoordelijke activiteit.
Ligt het aan mij, of is deze tekst moeilijk te volgen?
Ligt aan jou de tekst van anoniem is goed te volgen.
Korte vertaling:
- Wolf roepen terwijl er niets helder is, dat is niet goed.
- aluhoedjes gedrag met alle plotters, dat is niet goed.
12-11-2017, 16:56 door Anoniem
DHS geeft een belangrijk punt aan: de piloten hebben (na jaren van bekend zijn dat deze apparatuur mogelijk beinvloedbaar is of overgenomen kan worden) geen flauw benul van dat risico.

Een excuus vanuit de industrie is dat de procedures die afwijkingen en fouten moeten voorkomen en minimaliseren. Dat de industrie zich angstvallig vast klampt aan die procedures is begrijpelijk. Die procedures is wat ze met veel moeite overeen kunnen komen en zijn cruciaal als je met een snelheid van 450 knopen op 37000 foot in een omgeving bent met nauwelijks zuurstof en een temperatuur die ver onder het vriespunt ligt. Je trapt niet even op de rem om te kijken wat er mis is, dat toestel gaat door met minimaal de natuurwetten als uitgangspunt.

Het excuus van de industrie is helaas ook slap. De procedures en trainingen zijn gericht op waar wel aandacht voor is. Piloten worden geacht met de procedures en het trainen van bekende situaties om te kunnen gaan. Maar in die procedures en die trainingen is geen aandacht voor opzettelijke beinvloeding of overname van apparatuur. Als procedures daar niet op gemaakt zijn en piloten niet de training hebben gehad, hoe kan je dan als industrie beweren dat die procedures en de piloten dan genoeg zijn?

De industrie denkt in termen van security aan klassieke safety en shielding. De makers van apparatuur heeft geen verstand IT-security als injection aanvallen. De keuringsinstanties houden geen rekening met IT-security omdat er geen procedures voor zijn. De eigenaren van de apparatuur en vliegers verschuilen zich achter bestaande procedures en trainingen die op geen enkele manier berekend zijn op gebrek aan IT-security.

Als we willen dat procedures en trainingen de gevolgen van gebrek aan IT-security kunnen opvangen dan moeten die procedures en trainingen daar minimaal op berekend zijn. Nu is er nog op geen enkele wijze naar gekeken of die procedures en trainingen wel afdoende zijn, dus kan niemand zich verschuilen achter een excuus dat die procedures en trainingen het wel zouden ondervangen.

Procedures en trainingen worden in de vliegindustrie vaak pas aangepast als risico's onderkend worden. Doordat die aanpassingen uitblijven is duidelijk dat de risico's niet onderkend worden. En dan is het wachten op een incident dat genoeg resultaat oplevert dat een autoriteit eist dat er aanpassingen komen. Het is beschamend hoe passief de houding van de industrie en autoriteiten is. DHS had kunnen zeggen dat het niet hun probleem is omdat ze geen autoriteit voor de industrie zijn maar dat doen ze gelukkig niet.
12-11-2017, 17:09 door Anoniem
Er wrdt ook aardig wat geld verspijkerd aan het "terrorist-vrij" houden van vluchten.

Misschien zou uit analyze van alle feiten wel kunnen blijken dat nog altijd de meeste dooien vallen door oorzaken van binnenuit de vliegwereld: verkeerde informatie over veilige vluchtroutes, piloten die haywire gaan, technische problemen die voorzien of voorkomen hadden kunnen worden, gebrek aan opleiding bij piloten, fouten bij de verkeersleiding etc.

Als daar de mogelijkheid tot het van buitenaf beinvloeden van vliegtuigen bij komt (iets dat niet alleen voor de eenzame hacker op zijn zolderkamertje interessant is, maar ook voor de professional) lijkt me dat toch wel wat centjes waard. Misschien kan dat wel betaald uit een hogere belasting op kerosine en CO2 uitstoot. En misschien moeten we ook niet zoveel vliegen met zijn allen, dat scheelt voor het milieu (en het hoeft dan niet steeds goedkoper). Maar dat terzijde.
12-11-2017, 23:54 door [Account Verwijderd]
Door Anoniem: Er wrdt ook aardig wat geld verspijkerd aan het "terrorist-vrij" houden van vluchten.

Misschien zou uit analyze van alle feiten wel kunnen blijken dat nog altijd de meeste dooien vallen door oorzaken van binnenuit de vliegwereld: verkeerde informatie over veilige vluchtroutes, piloten die haywire gaan, technische problemen die voorzien of voorkomen hadden kunnen worden, gebrek aan opleiding bij piloten, fouten bij de verkeersleiding etc.

Als daar de mogelijkheid tot het van buitenaf beinvloeden van vliegtuigen bij komt (iets dat niet alleen voor de eenzame hacker op zijn zolderkamertje interessant is, maar ook voor de professional) lijkt me dat toch wel wat centjes waard. Misschien kan dat wel betaald uit een hogere belasting op kerosine en CO2 uitstoot. En misschien moeten we ook niet zoveel vliegen met zijn allen, dat scheelt voor het milieu (en het hoeft dan niet steeds goedkoper). Maar dat terzijde.

Het probleem is een nieuwe 9/11 , waar diverse vliegtuigen op hetzelfde moment worden gesaboteerd met IT middelen. Ze hoeven dan niet in gebouwen te vliegen maar als een organisatie achter een lek komt die bijvoorbeeld de blussers van de motoren kan activeren waardoor de motoren stoppen en dan met 10 tegelijk de aanval doen is de impact hetzelfde. Ik begrijp uit het artikel dat er domweg geen procedures zijn die de IT van vliegtuigen checkt op mogelijke lekken.
13-11-2017, 15:41 door Anoniem
Tegenwoordig is vrijwel alles fly-by-wire. Als de systemen dan gesaboteerd worden, kun je als piloot niets meer doen.

Voor nog te bouwen installaties op de grond (en theoretisch ook voor vliegtuigen) kun je nog wel iets doen:
1. analoge meetapparatuur (met menselijke bewaking) als aanvulling op de digitale meetapparatuur;
2. een mechanische 'override' op alle stuursystemen, zodat je alles in een veilige (maar non-productieve) toestand kan brengen.
13-11-2017, 16:48 door Anoniem
Door Anoniem:
Door Anoniem: Dit is het punt waar deze hopeloos slechte berichtgeving gewoon gevaarlijk wordt.

Want "hacken" betekent niets behalve het aanroepen van "hackers", oftewel de "cyber-boeman" waarvan we niet weten wat'ie allemaal wel of niet(!) kan maar hij zit potentieel mogelijk wellicht mischien vast wel onder je digitale bed! Vandaar ook dat de meeste "oplossingen" voor "hacken", malware, en al het andere duistere dat op je loert in de interwebbertubes bestaan uit een digitaal dekentje waar je je onder kan verstoppen. Dat is verre van wetenschappelijk, rigoreus, systematisch, of zelfs maar effectief.

En dat gedrag wordt ronduit gevaarlijk als er lijnvliegtuigen uit de lucht kunnen vallen. Dus vertel wat je echt weet, en verberg je niet achter dat boemanjargon. Doe je dat wel ben je crimineel incompetent bezig. En ja, zo ongeveer de hele security industrie inclusief de DHS is schuldig aan deze crimineel onverantwoordelijke activiteit.

Eerlijk gezegd vind ik reacties zoals deze gevaarlijker dan het onderzoek in kwestie. Onderzoek is gedegen, jouw reactie raakt kant noch wal want je geeft niet aan wat jouw bronnen zijn. Neigt naar trollen en smaakmakerij.

Terug naar de realiteit: dit is inderdaad een gevaarlijke ontwikkeling wat er al wel aan zat te komen. Na de auto-industrie is nu de vliegtuig-industrie aan de beurt omdat alles maar zoveel mogelijk op afstand gemanaged moet worden. Achtergrond hiervan is overigens dat men toe wil groeien naar zogenaamd Performance Based Logistics: pas onderhoud uitvoeren als een onderdeel op punt staat kapot te gaan ipv op basis van preventief onderhoud. Iets waar men met name in de vliegwereld meer op is gefocust vanwege kostenbeheersing.

Ik denk dat hij simpelweg duidt op het feit dat de onderzoekers niet aan willen geven hoe zij de hack hebben uitgevoerd, naast het kleine beetje informatie dat ze geven betreffende radiosignalen.
Ik kan mij in dat geval dan ook wel vinden in zijn relaas, hoewel het wellicht iets té is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.