本周二早晨，美國聯(lián)合航空公司所有航班都被下令不得起飛，將近一個小時(shí)之后才解除禁飛令。官方解釋是調(diào)度信息出問題，非外部原因?qū)е隆５行┏丝桶l(fā)推特聲稱，飛機(jī)上的工作人員告之因黑客入侵，導(dǎo)致系統(tǒng)彈出偽造的飛行計(jì)劃。

[[136096]]

自從安全研究人員克里斯·羅伯茨在飛機(jī)上發(fā)推特，說是要黑掉飛機(jī)之后，安全圈對于此事的爭論就一直沒有停息。但大部人還是認(rèn)為美國聯(lián)邦調(diào)查局大驚小怪，聯(lián)合航空禁止他以后乘坐飛機(jī)的決定更是反應(yīng)過激。雖然也有人半信半疑，尤其那些是喜愛炒作的媒體和寧可信其有不可信其無的外行人。但之后的事情似乎又起了變化。

FBI書面陳述

上個月，聯(lián)邦調(diào)查局(FBI)提交到法庭的書面陳述聲稱，羅伯特承認(rèn)曾入侵其乘坐飛機(jī)的飛行娛樂系統(tǒng)，并輕微改變其航向。這份正式提交到聯(lián)邦地方法庭的書面陳述改變了一些人對FBI的不屑態(tài)度，并轉(zhuǎn)向?qū)α_伯茨的憤怒。

一個職業(yè)安全人員怎么能將乘客的生命安全棄之不顧，對正在飛行中的飛機(jī)進(jìn)行非法的網(wǎng)絡(luò)系統(tǒng)滲透測試呢?

不過，還是有一些人對FBI的書面陳述產(chǎn)生置疑。他們認(rèn)為，要么是FBI理解錯了羅伯茨的話語，要么就是羅在吹牛。波音官方和第三方航空專家聲稱，F(xiàn)BI的書面陳述在技術(shù)上是不可能的。

當(dāng)這些系統(tǒng)接收(飛機(jī))位置數(shù)據(jù)并建立通信連接時(shí)，飛機(jī)上執(zhí)行關(guān)鍵和基本功能的系統(tǒng)是與之隔離的。

這個聲明聽起來有些令人費(fèi)解。到底航空系統(tǒng)與娛樂網(wǎng)絡(luò)是連著的還是隔離的?而且如果是連接的，波音又怎能斷定黑客無法從娛樂系統(tǒng)進(jìn)入航空系統(tǒng)進(jìn)而操縱飛機(jī)?要知道，，美國政府問責(zé)辦公室(GAO)就在今年兩次發(fā)報(bào)告警告美國商業(yè)飛機(jī)容易遭到黑客攻擊。

看來此事并非空穴來風(fēng)，那我們只好仔細(xì)的研究一下FBI的這份書面陳述了。

按照聯(lián)邦法院公開的文檔，F(xiàn)BI特工馬克·赫雷在5月份拿到搜查證得以搜查羅伯茨的計(jì)算機(jī)。羅伯茨配合調(diào)查時(shí)告訴他，自己在某架航班上訪問過飛行娛樂系統(tǒng)(IFE)，并訪問了“推進(jìn)管理計(jì)算機(jī)”(TMC)。這臺設(shè)備與自動駕駛協(xié)同工作，計(jì)算不同情況下引擎的動力并予以維持。

文檔中還表示，羅伯茨發(fā)送了一個“爬升命令”，“引起飛機(jī)的一部引擎爬升，造成飛機(jī)側(cè)飛或斜飛。”

許多人對“側(cè)飛”提出異議，覺得大型客機(jī)做出這種動作不大可能。但聯(lián)邦航空署的一位前調(diào)查人員大衛(wèi)·索西認(rèn)為，陳述中所說的“側(cè)飛”很可能是指飛機(jī)頭由于一個引擎的推動被稍稍改變了一下方向而已，這種情形在沒有接入自動駕駛的情況下是可以發(fā)生的。

索西表示，如果一側(cè)的引擎推進(jìn)力增加，會產(chǎn)生扭矩而造成飛機(jī)失衡。但飛機(jī)的設(shè)計(jì)會補(bǔ)償這種情況以保持平衡，“你可以關(guān)掉一個引擎，另一個引擎開啟全速推進(jìn)，飛機(jī)也不會翻過來，或是側(cè)飛。”即使像通常那樣，在巡航高度接入自動駕駛，在發(fā)生這種情況時(shí)，計(jì)算機(jī)也能查覺到某個引擎的推進(jìn)，并給予修正以保持飛機(jī)航向。如果自動駕駛被關(guān)掉，推進(jìn)力“會令機(jī)翼下沉”，輕微的拉動飛機(jī)。要達(dá)到這一點(diǎn)，“你必須真得去調(diào)節(jié)油門，以改變原來的航向，而這是會引起乘客注意的。”飛機(jī)頭會輕微的往引擎推進(jìn)相反的方向改變。

然而，是否能夠從乘客座位上發(fā)送命令造成這種現(xiàn)象，則是另一回事。索西與波音的觀點(diǎn)一致，不可能。但與波音不一樣的是，索西把原因講得很清楚。

有著8年工作經(jīng)驗(yàn)的波音前首席工程師彼特·萊姆表示，提供自動油門功能的系統(tǒng)實(shí)際上控制著引擎推進(jìn)，其并不允許其中一個引擎油門獨(dú)立操作運(yùn)行。

“自動油門要把引擎保持在一起，不會分開引擎。唯一(有效)的指令是把他們聯(lián)在一起，而不是把它們分開。”因此，羅伯茨無法發(fā)送讓一個引擎推進(jìn)的指令，也沒有這樣的指令。

入侵系統(tǒng)以控制引擎推動唯一的方法就是訪問裝有控制系統(tǒng)的設(shè)備，并且對其油門軟件進(jìn)行重新編程。但這個設(shè)備是無法重新編程的，它有著各種各樣聯(lián)動機(jī)制，以確保軟件無法在飛行中被改變。而且，如果自動油門真的出了問題，飛行員也會立刻掌控飛機(jī)的。“飛行員能夠控制油門，手動操作控制權(quán)要大于計(jì)算機(jī)。”

那么，如果羅伯茨不能改變引擎推動力，但他至少能夠訪問航空系統(tǒng)來做其他的事情嗎?索西和萊姆的回答是“不”。#p#

飛行娛樂系統(tǒng)(IFE)

按照FBI的書面陳述，羅伯茨冊通過IFE訪問到的推進(jìn)管理系統(tǒng)。他在松下和泰利斯(法國電子企業(yè)，生產(chǎn)各種國防和航空工業(yè)的安全產(chǎn)品和組件)生產(chǎn)的兩套系統(tǒng)中發(fā)現(xiàn)了一些漏洞。在至少15次飛行中，羅伯茨通過座椅底下安裝的電子盒(SEB)入侵了IEF。他通過“擠壓和扭動”蓋子以打開電子盒，然后把一根端口經(jīng)過改裝的Cat6以太網(wǎng)線接到盒子上，另一端插在他的筆記本電腦。至少在一次飛行中，他利用默認(rèn)的ID和口令訪問IFE，然后設(shè)法進(jìn)入推進(jìn)管理系統(tǒng)的計(jì)算機(jī)。

IFE通過嵌入在椅背、扶手或天花板上的屏幕為乘客提供音頻和視頻娛樂，這些顯示屏還可以顯示飛機(jī)的飛行路線、速度與當(dāng)前位置的動態(tài)地圖。航空系統(tǒng)與IFE之間的確存在連接，但是這個連接是有限制的。

索西和萊姆認(rèn)為，這個連接只允許單向數(shù)據(jù)通信。兩個系統(tǒng)之間通過ARINC429數(shù)據(jù)總線連接，通過這個鏈接把航空系統(tǒng)的信息傳遞給IFE，包括飛機(jī)的緯度、經(jīng)度和速度。IFE再把這些數(shù)據(jù)進(jìn)行處理，最終得以讓乘客在地圖上看到飛機(jī)的運(yùn)動狀況。

萊姆表示，“在每架飛機(jī)上都有點(diǎn)不一樣的地方，各自的處理方式不同。”但無論怎樣，ARINC429是一臺只允許接收來自航空系統(tǒng)數(shù)據(jù)的設(shè)備，不可以逆向返回。想要回傳數(shù)據(jù)的話，必須增加一臺輸入的總線設(shè)備。“我無法想像為什么要增加一臺這樣的交互設(shè)備，即使有的話，我也從未聽說過。”

我嚴(yán)重懷疑他(指羅伯茨)能突破IFE系統(tǒng)之外。

技術(shù)分析人員解釋的情況似乎與波音公司在官方聲明中描述的一樣，“接收位置數(shù)據(jù)并建立通信連接”到飛機(jī)上其他的系統(tǒng)，但它們與執(zhí)行關(guān)鍵功能的系統(tǒng)是“隔離的”。事情至此，似乎可以認(rèn)為飛機(jī)的航空控制系統(tǒng)是安全的了。但是，網(wǎng)上發(fā)現(xiàn)的另一份文檔再次讓事情變得復(fù)雜起來。

一份波音官方網(wǎng)站上公開的介紹文檔顯示，波音777系列使用的是ARINC629總線設(shè)備，而這種設(shè)備是雙向通信的。

777系統(tǒng)中的一個關(guān)鍵部分就是波音取得專利的雙向數(shù)據(jù)總線ARINC629，此專利已被當(dāng)做新的行業(yè)標(biāo)準(zhǔn)采用。它允許飛機(jī)系統(tǒng)和關(guān)聯(lián)的計(jì)算機(jī)彼此共用一條線路(纏繞著的一對線)通信，而不是分開的單向線路連接。這進(jìn)一步簡化了安裝并減輕了重量，同時(shí)也由于降低了線路及其連接器的使用量而增加了系統(tǒng)的可靠性。777系統(tǒng)中有11套ARINC629。

然而，并不清楚ARINC629是否僅用航空系統(tǒng)中關(guān)鍵組件之間的通信，或者這樣說，是否被用來在航空系統(tǒng)與非關(guān)鍵系統(tǒng)比如IFE之間的通信。波音公司并沒有對這樣的問題做出回答。

不過，萊姆認(rèn)為波音公司是否回答這個問題并不重要。因?yàn)榧词箶?shù)據(jù)可以從IFE發(fā)往航空系統(tǒng)，后者也會拒絕接收。因?yàn)樵诤娇障到y(tǒng)的編程規(guī)則中已經(jīng)把IFE設(shè)為不受信任的系統(tǒng)，是不應(yīng)該給關(guān)鍵系統(tǒng)發(fā)送數(shù)據(jù)的。

“作為系統(tǒng)需要的一部分，數(shù)據(jù)交換規(guī)則都是預(yù)先編制好的，每一臺發(fā)射器或接收器都會以特定的速率提供特定的數(shù)據(jù)。每臺接收裝置都會檢測數(shù)據(jù)的合法性，是否應(yīng)該接收。”

因此問題的關(guān)鍵是，編程規(guī)則的限制是否在航空軟件中正確的實(shí)施以拒絕不合法的通信。萊姆表示，航空系統(tǒng)設(shè)計(jì)都是按照嚴(yán)格的標(biāo)準(zhǔn)并經(jīng)過大量的代碼評審和測試的，以確保某些系統(tǒng)不可以與關(guān)鍵系統(tǒng)會話。

“大家猜測，如果系統(tǒng)沒有100%正確實(shí)施的話，就有可能會留下漏洞，導(dǎo)致能夠訪問關(guān)鍵系統(tǒng)。但我并不相信有這種漏洞存在。我的確相信可以有辦法進(jìn)入設(shè)備，但我不相信能在飛行中控制設(shè)備。因?yàn)檫@樣做必須對設(shè)備重新編程。”

萊姆指出，也許現(xiàn)在有一些飛機(jī)使用以太連接來代替ARINC429，把航空系統(tǒng)發(fā)來的數(shù)據(jù)傳送給IFE。但如果有這種設(shè)計(jì)的話，在航空系統(tǒng)和IFE之前也肯定會部署一個設(shè)備，以確保數(shù)據(jù)安全的傳遞給IFE，同時(shí)禁止數(shù)據(jù)從IFE返回給航空系統(tǒng)。

網(wǎng)上可以查詢到由航空電子工程委員會飛行器數(shù)據(jù)網(wǎng)絡(luò)工作組主席簡鮑羅·摩羅克斯做的一個PPT文件。這份2004年或之后撰寫的文檔討論了把ARINC429轉(zhuǎn)成以太網(wǎng)的建議，但這份建議是否被接受并實(shí)施目前尚不得而知。但萊姆認(rèn)為，盡管一些飛機(jī)可能在航空系統(tǒng)中使用以太網(wǎng)，他們也會使用一種稱之為“航空完全雙工網(wǎng)關(guān)”的以太網(wǎng)。這種設(shè)備是Airbus的專利，并且只用于航空系統(tǒng)的關(guān)鍵組件中，而不是用于IFE或其他非關(guān)鍵系統(tǒng)中。

#p#

衛(wèi)星通信系統(tǒng)

羅伯茨曾在4月份的一次采訪中表示，他發(fā)現(xiàn)了漏洞得以從衛(wèi)星通信系統(tǒng)(SATCOM)進(jìn)入IFE和機(jī)艙管理系統(tǒng)，其中一個駕駛艙管理系統(tǒng)負(fù)責(zé)控制乘客使用的氧氣罩。羅伯茨表示，他能夠觸發(fā)氧氣罩部署，但他并沒有這樣做。羅伯茨還認(rèn)為可以通過機(jī)艙管理系統(tǒng)訪問航空系統(tǒng)，但他并沒有確認(rèn)這一點(diǎn)。

前文中FBI的那份書面陳述并沒有提及衛(wèi)星通信系統(tǒng)，但萊姆表示羅伯茨通過衛(wèi)星通信系統(tǒng)也同樣不能訪問航空設(shè)備。

衛(wèi)星通信系統(tǒng)通常安裝在飛機(jī)后部的天花板上，通過線路連接到駕駛艙飛行面板底下的航空系統(tǒng)設(shè)備。包括經(jīng)度、緯度和速度等飛行數(shù)據(jù)通過一臺ARINC429(與IFE通信的429不同)發(fā)送給衛(wèi)星通信系統(tǒng)。后者使用這些數(shù)據(jù)來調(diào)整飛機(jī)頂部的天線，以發(fā)送無線電信號給最近方向的衛(wèi)星。萊姆和一位長期私人飛機(jī)駕駛員，前某衛(wèi)星通信公司的所有人邁克爾·伊克斯納均表示，這些數(shù)據(jù)也是單向的。

航空系統(tǒng)還有一條單獨(dú)的數(shù)據(jù)鏈路通往衛(wèi)星通信系統(tǒng)，用來與地面互動傳送來自ACARS管理系統(tǒng)的數(shù)據(jù)，這個接口是雙向的，允許信息出入飛機(jī)。而且，衛(wèi)星通信系統(tǒng)也會單獨(dú)的把乘客通信信息發(fā)給地面，如信用卡交易、互聯(lián)網(wǎng)訪問和電子郵件。

萊姆表示，所有在航空系統(tǒng)與衛(wèi)星通信系統(tǒng)，IFE與衛(wèi)星系統(tǒng)之間的通信都是通過單獨(dú)的、專用的無線頻道。“我們有專門為乘客機(jī)艙使用的和專門為飛行員使用的無線電，它們是物理隔離的，不可能有交集。”

因此，通過衛(wèi)星通信系統(tǒng)控制飛機(jī)的理論也說不通。

吹牛大王?

所有的這些內(nèi)容似乎都說明了，羅伯茨不可能黑進(jìn)飛機(jī)的推進(jìn)系統(tǒng)，進(jìn)而操縱飛機(jī)。無論是通過IFE，還是衛(wèi)星通信，或是其他什么系統(tǒng)。但話又說回來，F(xiàn)BI的書面陳述該如何解釋呢?

羅伯茨曾表示，F(xiàn)BI的書面陳述是斷章取義的。他與FBI有過多次談話，陳述中把談話內(nèi)容的一小部分強(qiáng)調(diào)了出來。也就是說，F(xiàn)BI是經(jīng)過精挑細(xì)選，并且前后混合了羅伯茨的語言。

伊克斯納與羅伯茨曾在5月初一起吃午飯，聊了很長時(shí)間。伊克斯納直截了當(dāng)?shù)膯柫_伯茨，是否真的控制過一架飛行中的飛機(jī)。“他說不，他說事情將會讓我相信他是在仿真環(huán)境下做的，而不是在一架真飛機(jī)上。”至于羅伯茨到底在真實(shí)飛行中做過什么，伊克斯納表示：“我嚴(yán)重懷疑他能突破IFE系統(tǒng)之外。”

他覺得羅伯茨可能侵入了IFE，“而且相信自己看到了看起來像是來自其他網(wǎng)絡(luò)的大量流量，但很可能沒有回去的通道。不過，這主要是我自己猜測的。”伊克斯納表示羅伯茨的話通常都帶著諷刺意味，很難從語法上區(qū)分哪句是真的哪句是假的。“他說過的話有很多不能當(dāng)真，我覺得FBI的書面陳述就是他這種混亂溝通方式的結(jié)果。”

但羅伯茨堅(jiān)持他檢測的飛機(jī)網(wǎng)絡(luò)是可以被入侵的，而波音公司則繼續(xù)堅(jiān)持航空系統(tǒng)至少是入侵不了的。最終，除非羅伯茨確認(rèn)無疑的把他所說的漏洞披露出來，并且解釋他是如何進(jìn)入航空系統(tǒng)的，否則一切都是空談。波音公司可以保證它的飛機(jī)網(wǎng)絡(luò)是安全的以打消人們的疑問，但波音至今為止拒絕公開發(fā)表這些言論。

不管羅伯茨是否入侵了飛機(jī)，萊姆認(rèn)為有一件事情是確認(rèn)無疑的。“乘客去連接他們不該連接的東西……我們至少可以說這是在干壞事，無異于拿著一把錘子在飛機(jī)上敲打。這顯然是犯罪行為，而不是一次偶然的練習(xí)。”

原文地址：http://www.aqniu.com/news/8060.html