Một Vụ Rò Rỉ Mã Nguồn của Boeing Tiết Lộ Nhược Điểm Bảo Mật Sâu Trong Bộ Nội Tạng của Máy Bay 787

Một đêm muộn tháng chín năm ngoái, nhà nghiên cứu bảo mật Ruben Santamarta ngồi trong phòng làm việc tại nhà của mình ở Madrid và tham gia vào một số tìm kiếm sáng tạo, tìm kiếm các tài liệu kỹ thuật liên quan đến sự quan tâm kéo dài nhiều năm của mình: bảo mật mạng của máy bay. Anh ta ngạc nhiên khi phát hiện một máy chủ hoàn toàn không bảo vệ trên mạng của Boeing, dường như đầy đủ mã được thiết kế để chạy trên máy bay hành khách khổng lồ 737 và 787 của công ty, được để mở và có sẵn cho bất kỳ ai tìm thấy nó. Vì vậy, anh ta đã tải xuống mọi thứ mà anh ta có thể nhìn thấy.

Bây giờ, gần một năm sau đó, Santamarta khẳng định rằng mã nguồn đã rò rỉ đã dẫn anh ta đến điều gì đó chưa từng có: nhược điểm bảo mật trong một trong những thành phần của 787 Dreamliner, sâu trong mạng lưới đa tầng của máy bay. Anh ta đề xuất rằng đối với một hacker, khai thác những lỗ hổng đó có thể đại diện cho một bước trong cuộc tấn công đa giai đoạn bắt đầu từ hệ thống giải trí trên máy bay khi đang bay và kéo dài đến các hệ thống quan trọng cho an toàn như điều khiển chuyến bay và cảm biến.

Boeing phủ nhận mạnh mẽ khả năng có một cuộc tấn công như vậy và từ chối tuyên bố của anh ấy về việc đã phát hiện một con đường tiềm ẩn để thực hiện nó. Santa­marta chính mình thừa nhận rằng anh ấy không có cái nhìn đầy đủ về máy bay—hoặc quyền truy cập vào một chiếc máy bay trị giá $250 triệu—để xác nhận những tuyên bố của mình. Nhưng anh ấy và những nhà nghiên cứu an ninh mạng của hệ thống điều khiển máy bay khác đã xem xét những kết quả nghiên cứu của anh ấy và cho rằng mặc dù cuộc tấn công mạng đầy đủ lực vào các hệ thống nhạy cảm nhất của máy bay vẫn còn xa rơi vào mối đe doạ cụ thể, những lỗ hổng mà anh ấy đã phát hiện trong mã nguồn của 787 vẫn đại diện cho sự thiếu chú ý đáng kể đối với bảo mật từ phía Boeing. Họ cũng nói rằng những phản ứng của công ty không hề làm yên lòng, trong bối cảnh tầm quan trọng của việc giữ cho máy bay thương mại an toàn trước hacker.

Tại hội nghị an ninh Black Hat diễn ra tại Las Vegas ngày hôm nay, Santamarta, một nhà nghiên cứu của công ty an ninh IOActive, dự định trình bày những kết quả nghiên cứu của mình, bao gồm chi tiết về nhiều lỗ hổng bảo mật nghiêm trọng trong mã nguồn của một thành phần của 787 được biết đến là Hệ Thống Dịch Vụ Thông Tin/Bảo Dưỡng của Phi Hành Đoàn. CIS/MS có trách nhiệm cho các ứng dụng như hệ thống bảo dưỡng và túi chuyến bay điện tử, một bộ sưu tập các tài liệu định hướng và sách hướng dẫn được sử dụng bởi phi công. Santamarta nói rằng anh ấy đã phát hiện một loạt các lỗ hổng nhiễm trí trong CIS/MS đó, và anh ấy tuyên bố rằng một hacker có thể sử dụng những lỗ hổng đó như một chỗ đứng chân bên trong một phần hạn chế của mạng của máy bay. Một kẻ tấn công có thể tiềm ẩn, Santamarta nói, từ hệ thống giải trí trên máy bay đến CIS/MS để gửi lệnh đến các thành phần quan trọng hơn nhiều kiểm soát các hệ thống an toàn của máy bay, bao gồm động cơ, phanh và cảm biến. Boeing khẳng định rằng những rào cản bảo mật khác trong kiến trúc mạng của 787 sẽ khiến cho quá trình tiến triển đó trở nên không thể.

Santamarta thừa nhận rằng anh ấy không có đủ cái nhìn vào bên trong của 787 để biết liệu những rào cản bảo mật đó có thể được vượt qua hay không. Nhưng anh ấy nói rằng nghiên cứu của anh ấy vẫn đại diện cho một bước đáng kể về việc chỉ ra khả năng của một phương pháp thực sự tấn công vào máy bay. "Chúng tôi không có 787 để thử nghiệm, vì vậy chúng tôi không thể đánh giá tác động," Santamarta nói. "Chúng tôi không nói rằng đây là ngày tận thế, hoặc rằng chúng tôi có thể hạ máy bay. Nhưng chúng tôi có thể nói: Điều này không nên xảy ra."

Tường Lửa Bay

Trong một tuyên bố, Boeing cho biết họ đã điều tra những tuyên bố của IOActive và kết luận rằng chúng không đại diện cho bất kỳ mối đe dọa thực sự nào từ một cuộc tấn công mạng. "Các kịch bản của IOActive không ảnh hưởng đến bất kỳ hệ thống máy bay quan trọng hoặc thiết yếu nào và không mô tả cách mà kẻ tấn công từ xa có thể truy cập các hệ thống 787 quan trọng như hệ thống điều khiển bay," tuyên bố của công ty đọc. "IOActive chỉ xem xét một phần của mạng 787 bằng cách sử dụng các công cụ cơ bản, và không có quyền truy cập vào hệ thống lớn hơn hoặc môi trường làm việc. IOActive chọn bỏ qua kết quả đã được xác minh và những hạn chế trong nghiên cứu của mình, và thay vào đó đưa ra những tuyên bố kích động như họ có quyền truy cập vào và phân tích hệ thống làm việc. Trong khi chúng tôi đánh giá cao sự tham gia trách nhiệm từ các nhà nghiên cứu an ninh mạng độc lập, chúng tôi thất vọng về sự trình bày không chịu trách nhiệm của IOActive."

Trong một cuộc gọi tiếp theo với MYTOUR, người phát ngôn của công ty nói rằng trong quá trình điều tra các tuyên bố của IOActive, Boeing đã đi xa đến mức đặt một chiếc Boeing 787 thực sự vào "chế độ bay" để kiểm tra, và sau đó đã có kỹ sư bảo mật của họ cố gắng khai thác những lỗ hổng mà Santamarta đã phát hiện. Họ phát hiện rằng họ không thể thực hiện một cuộc tấn công thành công. Honeywell, nhà cung cấp mã nguồn cho CIS/MS của Boeing, cũng viết trong một tuyên bố cho MYTOUR rằng "sau nhiều lần thử nghiệm, Honeywell và đối tác của mình đã xác định không có mối đe dọa đối với an toàn bay vì các hệ thống quan trọng của 787 không thể bị ảnh hưởng."

Những tuyên bố về cuộc tấn công của IOActive—cũng như sự phủ nhận của Honeywell và Boeing—dựa trên kiến trúc cụ thể của bên trong 787. Hệ thống kỹ thuật số của Dream­liner được chia thành ba mạng: Mạng Dữ Liệu Mở, nơi các thành phần không nhạy cảm như hệ thống giải trí trên máy bay đang sống; Mạng Dữ Liệu Cô Lập, bao gồm các thành phần ít nhạy cảm hơn như CIS/MS mà IOActive nhắm đến; và cuối cùng là Mạng Dữ Liệu Chung, quan trọng nhất trong ba mạng, kết nối với hệ thống điều khiển và an toàn của máy bay. Santamarta cho rằng những lỗ hổng mà anh ấy phát hiện trong CIS/MS, nằm giữa ODN và CDN, tạo ra một cầu nối từ một bên này sang bên kia.

Tuy nhiên, Boeing khẳng định rằng họ có cả "các cơ chế bảo vệ bổ sung" trong CIS/MS để ngăn chặn lỗ hổng của nó từ việc bị khai thác từ ODN, và một thiết bị phần cứng khác giữa Mạng Dữ Liệu Cô Lập có độ nhạy cảm mức trung bình—nơi CIS/MS đặt—và Mạng Dữ Liệu Chung có độ nhạy cảm cao. Cái rào cản thứ hai đó, công ty lập luận, chỉ cho phép dữ liệu đi từ một phần của mạng sang phần khác, thay vì các lệnh thực thi cần thiết để ảnh hưởng đến các hệ thống quan trọng của máy bay.

"Mặc dù chúng tôi không cung cấp chi tiết về các biện pháp an ninh mạng và bảo vệ vì lý do an ninh, Boeing tự tin rằng máy bay của mình an toàn khỏi cuộc tấn công mạng," kết luận tuyên bố của công ty.

Boeing nói rằng họ cũng tham khảo ý kiến của Cơ quan Hàng không Liên bang và Bộ An ninh Nội địa về cuộc tấn công của Santamarta. Trong khi DHS không đáp ứng yêu cầu để bình luận, một người phát ngôn của FAA viết trong một tuyên bố gửi tới MYTOUR rằng họ "hài lòng với đánh giá vấn đề của nhà sản xuất."

"Đây Là Bảo Mật Cơ Bản"

Những tuyên bố mới về lỗ hổng phần mềm nảy ra trước bối cảnh của vụ scandal liên quan đến việc đình chỉ hoạt động của máy bay Boeing 737 Max, sau khi các điều khiển lỗi của máy bay này góp phần vào hai vụ tai nạn khiến 346 người thiệt mạng. Đồng thời, Santamarta cũng có lịch sử không đồng ý chưa được giải quyết với ngành công nghiệp hàng không về các biện pháp an ninh mạng của nó. Anh trước đây đã hack hệ thống giải trí trên máy bay của Panasonic Avionics. Ví dụ, tại hội nghị Black Hat năm ngoái, anh trình bày về các lỗ hổng trong các hệ thống liên lạc vệ tinh mà anh nói có thể được sử dụng để hack một số hệ thống máy bay không nhạy cảm. Trung tâm Chia sẻ và Phân tích Ngành công nghiệp Hàng không đáp trả trong một tuyên bố bằng cách cho rằng những kết quả của anh ấy dựa trên "lỗi kỹ thuật." Santamarta phản đối rằng A-ISAC đang "tiêu diệt người thông báo," cố gắng làm mất uy tín anh ấy thay vì đối mặt với nghiên cứu của anh ấy.

Nhưng thậm chí khi chấp nhận tuyên bố của Boeing về các rào cản an ninh, những lỗ hổng mà Santamarta phát hiện đủ nghiêm trọng để không nên bị xem nhẹ, theo lời Stefan Savage, giáo sư khoa học máy tính tại Đại học California, San Diego, hiện đang làm việc với các nhà nghiên cứu học thuật khác trên một nền tảng kiểm thử an ninh mạng máy bay. "Tuyên bố rằng không cần lo lắng về một lỗ hổng vì các biện pháp bảo vệ khác ngăn chặn nó khỏi việc bị khai thác có lịch sử rất tồi trong lĩnh vực an ninh máy tính," Savage nói. "Thường thì, nếu có khói, có lửa."

Savage đặc biệt chỉ ra một lỗ hổng mà Santamarta nổi bật trong một phiên bản của hệ điều hành tích hợp VxWorks, trong trường hợp này được tùy chỉnh cho Boeing bởi Honeywell. (Lỗ hổng của Boeing đối với một bộ lỗi VxWorks đã được tiết lộ trước đó được biết đến chung là Urgent/11.) không liên quan đến Santamarta đã phát hiện ra rằng khi một ứng dụng yêu cầu ghi vào bộ nhớ của máy tính cơ bản, hệ điều hành tùy chỉnh không kiểm tra đúng cách để đảm bảo rằng nó không thay vào đó làm ghi đè lên hạt nhân, phần lõi nhạy cảm nhất của hệ điều hành. Kết hợp với một số lỗ hổng ứng dụng mà Santamarta phát hiện, lỗ hổng nâng cao đặc quyền kiểm tra tham số được gọi là một lỗ hổng nghiêm trọng, Savage lý giải, trở nên nghiêm trọng hơn khi có ý định rằng VxWorks có khả năng chạy trong nhiều thành phần khác nhau trên máy bay có thể có cùng lỗi.

"Mọi phần mềm đều có lỗi. Nhưng đây không phải là nơi tôi muốn tìm thấy những lỗi. Kiểm tra tham số người dùng là bảo mật cơ bản," Savage nói. "Họ không nên có những lỗ hổng trực tiếp như vậy, đặc biệt là trong hạt nhân. Trong thời đại này, việc một hệ điều hành tiêu dùng không kiểm tra các tham số người dùng sẽ là điều không thể tưởng."

Một nhà nghiên cứu an ninh mạng máy bay học thuật khác, Karl Koscher tại Đại học Washington, nói rằng anh ấy đã phát hiện ra những lỗ hổng bảo mật nghiêm trọng trong một thành phần máy bay giống như những gì Santamarta báo cáo trong CIS/MS. "Có lẽ Boeing có ý định xử lý nó như là không đáng tin cậy, và phần còn lại của hệ thống có thể xử lý phần không đáng tin cậy đó," Koscher nói."Nhưng nói rằng, 'Nó không quan trọng vì có biện pháp giảm nhẹ ở phía dưới' không phải là một câu trả lời tốt. Đặc biệt là nếu một số biện pháp giảm nhẹ hóa cuối cùng không mạnh mẽ như bạn nghĩ."

Koscher cũng chỉ ra sự tiếp cận của CIS/MS đối với Túi Bay Điện Tử, đầy đủ tài liệu và vật liệu định hướng mà phi công của máy bay có thể tham khảo qua một chiếc máy tính bảng trong buồng lái. Phá hoại dữ liệu đó có thể gây ra hỗn loạn riêng của nó. "Nếu bạn có thể tạo ra sự nhầm lẫn và thông tin sai lệch trong buồng lái, điều đó có thể dẫn đến một số kết quả khá tồi tệ," Koscher lưu ý. (Một người phát ngôn của Boeing nói rằng EFB không thể bị ảnh hưởng từ CIS/MS, dù cả hai đều đặt ở cùng một phần của mạng 787.)

Những Bộ Sưu Tập Lớn, Bay của Máy Tính

Để rõ ràng, cả Savage lẫn Koscher đều không tin rằng, dựa trên những phát hiện của Santamarta mà một hacker có thể gây ra nguy cơ ngay lập tức cho máy bay hoặc hành khách. "Điều này còn rất xa lạy từ một mối đe dọa an toàn cấp bách. Dựa trên những gì họ có bây giờ, tôi nghĩ bạn có thể để nhóm IOActive hoạt động tự do trên một chiếc 787 và tôi vẫn thoải mái khi bay trên nó," Savage nói. "Nhưng Boeing cần phải làm việc."

Việc đánh giá xem những phát hiện của IOActive thực sự đại diện cho một bước tiến về một cuộc tấn công nghiêm trọng là khó khăn, Savage chỉ ra, đơn giản chỉ vì vấn đề khả năng nghiên cứu về an ninh máy bay không thể. Các công ty như Boeing có các phương tiện để kiểm tra một cách toàn diện về an ninh của một chiếc máy bay trị giá một tỷ đô, nhưng cũng có các mối xung đột sâu sắc về những kết quả họ công bố. Những hacker độc lập như Santamarta của IOActive không có tài nguyên để thực hiện những cuộc điều tra hoàn chỉnh đó - thậm chí là khi có những hacker quốc gia có nguồn lực mạnh mẽ hoặc những người khác sẵn lòng thử nghiệm trên các máy bay thực tế, đang bay.

Nghiên cứu của Santamarta, bất kể sự phủ nhận và đảm bảo của Boeing, nên là một lời nhắc nhở rằng an ninh máy bay là một lĩnh vực nghiên cứu an ninh mạng chưa được giải quyết. "Điều này là một lời nhắc nhở rằng máy bay, giống như ô tô, phụ thuộc vào các hệ thống máy tính được kết nối ngày càng phức tạp," Savage nói. "Họ không thoát khỏi những lỗ hổng đi kèm với điều này."

Câu chuyện này đã được cập nhật để làm rõ rằng các lỗ hổng của Boeing là khác biệt so với các lỗi VxWorks đã được tiết lộ trước đó.

Những điều tuyệt vời khác từ MYTOUR

• Làm thế nào các nhà khoa học xây dựng một “thuốc sống” để đánh bại ung thư
• Hey, Apple! Lựa chọn “từ chối” là vô dụng. Hãy để mọi người lựa chọn tham gia
• Các ngân hàng lớn sẽ sớm tham gia vào đợt sóng lượng tử
• Nỗi lo âu kinh hoàng từ các ứng dụng chia sẻ vị trí
• Giờ đây, thậm chí đám tang cũng được trực tiếp truyền trực tuyến
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Kiểm tra lựa chọn của đội Gear của chúng tôi về các bộ theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất.
• 📩 Nhận thêm nhiều thông tin bên trong từ bản tin hàng tuần Backchannel của chúng tôi