Het Department of Homeland Security heeft dinsdag een veiligheidswaarschuwing afgegeven voor kleine vliegtuigen. waarschuwing dat moderne vluchtsystemen kwetsbaar zijn voor hacking als iemand erin slaagt fysieke toegang tot het vliegtuig te krijgen.

Een waarschuwing van het DHS-team voor kritieke infrastructuur voor computernoodhulp beveelt vliegtuigeigenaren aan ervoor te zorgen dat ze ongeoorloofde fysieke toegang tot hun vliegtuig beperken totdat de industrie veiligheidsmaatregelen ontwikkelt om het probleem aan te pakken, die werd ontdekt door een in Boston gevestigd cyberbeveiligingsbedrijf en gerapporteerd aan de federale overheid.

De meeste luchthavens hebben beveiliging om onbevoegde toegang te beperken en er is geen bewijs dat iemand misbruik heeft gemaakt van de kwetsbaarheid. Maar een DHS-functionaris vertelde The Associated Press dat het bureau onafhankelijk de beveiligingsfout bevestigde met externe partners en een nationaal onderzoekslaboratorium, en besloot dat het nodig was om de waarschuwing te geven.

Het cyberbeveiligingsbedrijf, snel7, ontdekte dat een aanvaller mogelijk elektronische berichten die via het netwerk van een klein vliegtuig worden verzonden, kan verstoren, bijvoorbeeld door een klein apparaat aan de bedrading te bevestigen, die van invloed zouden zijn op vliegtuigsystemen.

Motoraflezingen, kompas gegevens, hoogte en andere metingen "kunnen allemaal worden gemanipuleerd om valse metingen aan de piloot te geven, " volgens de DHS-waarschuwing.

De waarschuwing weerspiegelt het feit dat vliegtuigsystemen in toenemende mate afhankelijk zijn van genetwerkte communicatiesystemen, net als moderne auto's. De auto-industrie heeft al stappen ondernomen om soortgelijke problemen aan te pakken nadat onderzoekers kwetsbaarheden hadden blootgelegd.

Het Rapid7-rapport richtte zich alleen op kleine vliegtuigen omdat hun systemen gemakkelijker te verkrijgen zijn voor onderzoekers. Grote vliegtuigen maken vaak gebruik van complexere systemen en moeten aan aanvullende beveiligingseisen voldoen. De DHS-waarschuwing is niet van toepassing op oudere kleine vliegtuigen met mechanische controlesystemen.

Maar Patrick Kiley, Rapid7's hoofdonderzoeker over dit onderwerp, zei dat een aanvaller de kwetsbaarheid zou kunnen misbruiken met toegang tot een vliegtuig of door de beveiliging van de luchthaven te omzeilen.

"Iemand met vijf minuten en een set lockpicks kan toegang krijgen (of) er is gemakkelijk toegang via de motorruimte, ' zei Kiley.

Jeffrey Troje, voorzitter van het Aviation Information Sharing and Analysis Center, een brancheorganisatie voor informatie over cyberbeveiliging, zei dat er behoefte is aan verbetering van de beveiliging in genetwerkte besturingssystemen, maar benadrukte dat de hack afhankelijk is van het omzeilen van fysieke beveiligingscontroles die wettelijk verplicht zijn.

Met toegang, "je hebt honderden mogelijkheden om elk systeem of onderdeel van een vliegtuig te verstoren, ' zei Troje.

De Federal Aviation Administration zei in een verklaring dat een scenario waarin iemand onbeperkte fysieke toegang heeft onwaarschijnlijk is, maar het rapport is ook "een belangrijke herinnering om waakzaam te blijven" over fysieke en cyberbeveiligingsvliegtuigprocedures.

Cyberbeveiliging in de luchtvaart is een probleem van groeiende bezorgdheid over de hele wereld.

In maart, de inspecteur-generaal van het Amerikaanse ministerie van Transport vond dat de FAA "geen uitgebreide, strategisch beleidskader om cyberbeveiligingsrisico's te identificeren en te beperken." De FAA was het daarmee eens en zei dat het ernaar zou streven om tegen eind september een plan te hebben.

Het VN-orgaan voor luchtvaart heeft zijn eerste strategie voorgesteld om de burgerluchtvaart te beveiligen tegen hackers, die naar verwachting voor de Algemene Vergadering in september zal plaatsvinden. zei Piet Kuiper, een ex-Royal Air Force snelle straaljagerpiloot en cyber operations officer die de luchtvaartindustrie adviseert.

Het rapport over de onthulling van kwetsbaarheden is het resultaat van bijna twee jaar werk van Rapid7. Nadat hun onderzoekers de fout hadden beoordeeld, waarschuwde het bedrijf DHS. De DHS-waarschuwing van dinsdag beveelt fabrikanten aan om te bekijken hoe ze deze open elektronische systemen, bekend als "de CAN-bus", implementeren om het vermogen van een hacker om een ​​dergelijke aanval uit te voeren, te beperken.

De CAN-bus functioneert als het centrale zenuwstelsel van een klein vliegtuig. Door zich erop te richten, kan een aanvaller heimelijk de instrumentwaarden van een piloot kapen of zelfs de controle over het vliegtuig overnemen, volgens het Rapid7-rapport van The AP.

"CAN-bus is volledig onveilig, " zei Chris King, een cybersecurity-expert die heeft gewerkt aan kwetsbaarheidsanalyse van grootschalige systemen. "Het is nooit ontworpen om in een vijandige omgeving te zijn, (dus er is) geen validatie" dat wat het systeem wordt verteld te doen afkomstig is van een legitieme bron.

Nog maar een paar jaar geleden, de meeste autofabrikanten gebruikten het open CAN-bussysteem in hun auto's. Maar nadat onderzoekers publiekelijk hadden laten zien hoe ze konden worden gehackt, autofabrikanten voegden beveiligingslagen toe, zoals het plaatsen van kritieke functies op afzonderlijke netwerken die extern moeilijker toegankelijk zijn.

De onthulling belicht problemen in de auto- en luchtvaartindustrie over de vraag of een softwarekwetsbaarheid moet worden behandeld als een veiligheidsfout - met het potentieel voor dure terugroepacties van fabrikanten en impliciete aansprakelijkheid - en welke verantwoordelijkheid fabrikanten moeten hebben om ervoor te zorgen dat hun producten bestand zijn tegen dergelijke aanvallen. De kwetsbaarheid benadrukt ook de realiteit dat het steeds moeilijker wordt om cyberbeveiliging te scheiden van beveiliging in het algemeen.

"Veel luchtvaartmensen zien de overlap niet tussen informatiebeveiliging, cyberbeveiliging, van een vliegtuig, en veiligheid, " zei Beau Woods, een innovatie-fellow voor cyberveiligheid bij de Atlantic Council, een Washington-denktank. "Ze zien ze als aparte dingen."

Het CAN-busnetwerkschema is ontwikkeld in de jaren 80 en is extreem populair voor gebruik in boten, drones, ruimtevaartuig, vliegtuigen en auto's - alle gebieden waar er meer ruis is en waar het voordelig is om minder bedrading te hebben. Het wordt tegenwoordig in toenemende mate gebruikt in vliegtuigen vanwege het gemak en de kosten van implementatie, zei Kiley.

Aangezien vliegtuigen een langere productiecyclus hebben, "Wat we proberen te doen, is hier voor uit te komen."

Het rapport noemde de leveranciers niet die Rapid7 heeft getest, maar het bedrijf waarschuwde hen meer dan een jaar geleden, het rapport stelt.

© 2019 The Associated Press. Alle rechten voorbehouden.