Prepašovať na palubu lietadla zbraň, nôž, prípadne granát boli v minulosti spôsoby, ako uniesť lietadlo. Tie, čo sa žiaľ podarili, boli zapríčinené zlyhaním fyzickej bezpečnosti letiska. Fyzická bezpečnosť, konkrétne detekcia zakázaných predmetov, výrazne pokročila. Drží krok s dobou aj zabezpečenie lietadiel? Notebooky, tablety, Flippery a podobné zariadenia sú na palube povolené. Neznamená to potenciálne riziko pre bezpečnosť letu? Asi každého IT nadšenca napadlo počas letu, ako je zabezpečená a segmentovaná Wi-Fi na palube, ako je chránený zábavný systém alebo čo sa stane po odpojení dymového hlásiča na toalete. Norma ARINC 664 umožňuje pripojenie OT zariadení ethernetom. Dostali by ste IP adresu po odpojení dymového hlásiča a pripojení vlastného zariadenia? Pravdepodobne áno…
Foto: SHUTTERSTOCK
Niektoré obavy neostali len v teoretickej rovine. Jedným z najznámejších príkladov je prípad Chrisa Robertsa, bezpečnostného experta, ktorý v roku 2015 priznal, že počas letu hackol systémy Boeingu. Roberts tvrdil, že sa dokázal dostať z palubného zábavného systému až k dátam o motoroch lietadla, a dokonca spustil príkaz, ktorý zmenil smerovanie letu. Aj keď bolo jeho konanie motivované upozornením na bezpečnostné nedostatky, výsledkom bolo vyšetrovanie, ktoré ho pripravilo o možnosť lietať.
Čítajte viac Ransomware ako služba: Temná stránka podnikania v kyberpriestore
Ako je vôbec možné hacknúť lietadlo? Moderné lietadlá sú zložité systémy, kde sa palubné Wi-Fi často prepája s inými systémami, ktoré by mali zostať oddelené. Roberts dokázal, že niektoré systémy, ako zábava na palube, nie sú dostatočne izolované od kritických systémov, ako sú navigácia a motory. Keďže systémy lietadiel nebývajú pravidelne aktualizované a mnohé majú zastarané softvérové architektúry, tieto slabiny môžu byť zneužité.
Foto: SHUTTERSTOCK
V inom známom prípade bezpečnostný expert Ruben Santamarta demonštroval, že je možné využiť satelitné komunikačné systémy lietadiel na preniknutie do ich sietí. Využil slabiny v systémoch Inmarsat a Iridium, ktoré sú zodpovedné za prenos dát medzi lietadlami a pozemnými riadiacimi centrami. Tieto systémy, ktoré boli navrhnuté skôr, neboli pripravené na moderné kybernetické hrozby. Santamarta vo svojej prezentácii ukázal, že slabiny by mohli byť využité na manipuláciu s komunikáciou alebo dokonca na prístup k citlivým dátam.
Tieto udalosti otvárajú dôležitú otázku: Kde sú hranice etického pentestingu? Testovanie systémov počas letu môže ohroziť bezpečnosť pasažierov a piloti nemusia byť pripravení riešiť nečakané problémy spôsobené zásahom do systémov. Rovnako ide o porušenie zákona, keďže zasahovanie do systémov bez povolenia je trestné. Navyše, aj keď hackeri tvrdia, že ich cieľom je bezpečnosť, ohrozenie životov to nijak neospravedlňuje.
Čítajte viac Satelitná bezpečnosť pod lupou: Ako hackovanie mení hru vo vesmíre
Letecký priemysel má pritom možnosti, ako bezpečne testovať svoje systémy. Moderné metódy pentestingu sa môžu odohrávať v laboratórnych simuláciách, kde sú možné aj extrémne scenáre bez rizika pre pasažierov. Kritické systémy by mali byť izolované od ostatných častí siete, aby ich nebolo možné zneužiť ani pri fyzickom prístupe k zariadeniam. Zároveň existujú legálne programy, ako sú bug bounty, kde pentesteri môžu testovať zraniteľnosti s povolením prevádzkovateľov.
Robertsov prípad bol jednoznačne prelomový a poukázal na medzery v bezpečnosti, ale aj na potrebu prísnych pravidiel pre pentesterov. Jeho konanie ukázalo, aké zraniteľné môžu byť moderné lietadlá, ale tiež upozornilo na to, že dobrý úmysel nestačí. Pentest nie je anarchia; musí byť kontrolovaný, legálny a vykonávaný s ohľadom na všetky riziká.
Foto: SHUTTERSTOCK
Kybernetická bezpečnosť lietadiel je dnes veľkou výzvou. Letecké spoločnosti musia riešiť nielen fyzickú bezpečnosť, ale aj digitálnu. Ak však chceme, aby Boeingy a Airbusy zostali bezpečné, musíme zabezpečiť, aby pentesting zostal tam, kam patrí – na zem, ďaleko od výšok, kde na chyby niet miesta.
Pavol Veselý
Svoju profesionálnu kariéru strávil v medzinárodnej IT spoločnosti, kde si prešiel cestou od technických pozícií cez manažérske role až po vedenie veľkých medzinárodných projektov. Svoje skúsenosti pretavil do založenia spoločnosti Invidia Solutions, ktorá sa špecializuje na ochranu firiem pred kybernetickými hrozbami. Zároveň je zakladateľom neziskovej organizácie Cyberwatch, so zameraním na ochranu detí v kyberpriestore. Ako externý spolupracovník denníka Pravda prináša články zamerané na IT bezpečnosť, v ktorých prepája odborné znalosti s praktickým pohľadom.
