本周二早晨，美國(guó)聯(lián)合航空公司所有航班都被下令不得起飛，將近一個(gè)小時(shí)之后才解除禁飛令。官方解釋是調(diào)度信息出問(wèn)題，非外部原因?qū)е隆５行┏丝桶l(fā)推特聲稱，飛機(jī)上的工作人員告之因黑客入侵，導(dǎo)致系統(tǒng)彈出偽造的飛行計(jì)劃。

[[136096]]

自從安全研究人員克里斯·羅伯茨在飛機(jī)上發(fā)推特，說(shuō)是要黑掉飛機(jī)之后，安全圈對(duì)于此事的爭(zhēng)論就一直沒(méi)有停息。但大部人還是認(rèn)為美國(guó)聯(lián)邦調(diào)查局大驚小怪，聯(lián)合航空禁止他以后乘坐飛機(jī)的決定更是反應(yīng)過(guò)激。雖然也有人半信半疑，尤其那些是喜愛(ài)炒作的媒體和寧可信其有不可信其無(wú)的外行人。但之后的事情似乎又起了變化。

FBI書面陳述

上個(gè)月，聯(lián)邦調(diào)查局(FBI)提交到法庭的書面陳述聲稱，羅伯特承認(rèn)曾入侵其乘坐飛機(jī)的飛行娛樂(lè)系統(tǒng)，并輕微改變其航向。這份正式提交到聯(lián)邦地方法庭的書面陳述改變了一些人對(duì)FBI的不屑態(tài)度，并轉(zhuǎn)向?qū)α_伯茨的憤怒。

一個(gè)職業(yè)安全人員怎么能將乘客的生命安全棄之不顧，對(duì)正在飛行中的飛機(jī)進(jìn)行非法的網(wǎng)絡(luò)系統(tǒng)滲透測(cè)試呢?

不過(guò)，還是有一些人對(duì)FBI的書面陳述產(chǎn)生置疑。他們認(rèn)為，要么是FBI理解錯(cuò)了羅伯茨的話語(yǔ)，要么就是羅在吹牛。波音官方和第三方航空專家聲稱，F(xiàn)BI的書面陳述在技術(shù)上是不可能的。

當(dāng)這些系統(tǒng)接收(飛機(jī))位置數(shù)據(jù)并建立通信連接時(shí)，飛機(jī)上執(zhí)行關(guān)鍵和基本功能的系統(tǒng)是與之隔離的。

這個(gè)聲明聽起來(lái)有些令人費(fèi)解。到底航空系統(tǒng)與娛樂(lè)網(wǎng)絡(luò)是連著的還是隔離的?而且如果是連接的，波音又怎能斷定黑客無(wú)法從娛樂(lè)系統(tǒng)進(jìn)入航空系統(tǒng)進(jìn)而操縱飛機(jī)?要知道，，美國(guó)政府問(wèn)責(zé)辦公室(GAO)就在今年兩次發(fā)報(bào)告警告美國(guó)商業(yè)飛機(jī)容易遭到黑客攻擊。

看來(lái)此事并非空穴來(lái)風(fēng)，那我們只好仔細(xì)的研究一下FBI的這份書面陳述了。

按照聯(lián)邦法院公開的文檔，F(xiàn)BI特工馬克·赫雷在5月份拿到搜查證得以搜查羅伯茨的計(jì)算機(jī)。羅伯茨配合調(diào)查時(shí)告訴他，自己在某架航班上訪問(wèn)過(guò)飛行娛樂(lè)系統(tǒng)(IFE)，并訪問(wèn)了“推進(jìn)管理計(jì)算機(jī)”(TMC)。這臺(tái)設(shè)備與自動(dòng)駕駛協(xié)同工作，計(jì)算不同情況下引擎的動(dòng)力并予以維持。

文檔中還表示，羅伯茨發(fā)送了一個(gè)“爬升命令”，“引起飛機(jī)的一部引擎爬升，造成飛機(jī)側(cè)飛或斜飛。”

許多人對(duì)“側(cè)飛”提出異議，覺(jué)得大型客機(jī)做出這種動(dòng)作不大可能。但聯(lián)邦航空署的一位前調(diào)查人員大衛(wèi)·索西認(rèn)為，陳述中所說(shuō)的“側(cè)飛”很可能是指飛機(jī)頭由于一個(gè)引擎的推動(dòng)被稍稍改變了一下方向而已，這種情形在沒(méi)有接入自動(dòng)駕駛的情況下是可以發(fā)生的。

索西表示，如果一側(cè)的引擎推進(jìn)力增加，會(huì)產(chǎn)生扭矩而造成飛機(jī)失衡。但飛機(jī)的設(shè)計(jì)會(huì)補(bǔ)償這種情況以保持平衡，“你可以關(guān)掉一個(gè)引擎，另一個(gè)引擎開啟全速推進(jìn)，飛機(jī)也不會(huì)翻過(guò)來(lái)，或是側(cè)飛。”即使像通常那樣，在巡航高度接入自動(dòng)駕駛，在發(fā)生這種情況時(shí)，計(jì)算機(jī)也能查覺(jué)到某個(gè)引擎的推進(jìn)，并給予修正以保持飛機(jī)航向。如果自動(dòng)駕駛被關(guān)掉，推進(jìn)力“會(huì)令機(jī)翼下沉”，輕微的拉動(dòng)飛機(jī)。要達(dá)到這一點(diǎn)，“你必須真得去調(diào)節(jié)油門，以改變?cè)瓉?lái)的航向，而這是會(huì)引起乘客注意的。”飛機(jī)頭會(huì)輕微的往引擎推進(jìn)相反的方向改變。

然而，是否能夠從乘客座位上發(fā)送命令造成這種現(xiàn)象，則是另一回事。索西與波音的觀點(diǎn)一致，不可能。但與波音不一樣的是，索西把原因講得很清楚。

有著8年工作經(jīng)驗(yàn)的波音前首席工程師彼特·萊姆表示，提供自動(dòng)油門功能的系統(tǒng)實(shí)際上控制著引擎推進(jìn)，其并不允許其中一個(gè)引擎油門獨(dú)立操作運(yùn)行。

“自動(dòng)油門要把引擎保持在一起，不會(huì)分開引擎。唯一(有效)的指令是把他們聯(lián)在一起，而不是把它們分開。”因此，羅伯茨無(wú)法發(fā)送讓一個(gè)引擎推進(jìn)的指令，也沒(méi)有這樣的指令。

入侵系統(tǒng)以控制引擎推動(dòng)唯一的方法就是訪問(wèn)裝有控制系統(tǒng)的設(shè)備，并且對(duì)其油門軟件進(jìn)行重新編程。但這個(gè)設(shè)備是無(wú)法重新編程的，它有著各種各樣聯(lián)動(dòng)機(jī)制，以確保軟件無(wú)法在飛行中被改變。而且，如果自動(dòng)油門真的出了問(wèn)題，飛行員也會(huì)立刻掌控飛機(jī)的。“飛行員能夠控制油門，手動(dòng)操作控制權(quán)要大于計(jì)算機(jī)。”

那么，如果羅伯茨不能改變引擎推動(dòng)力，但他至少能夠訪問(wèn)航空系統(tǒng)來(lái)做其他的事情嗎?索西和萊姆的回答是“不”。#p#

飛行娛樂(lè)系統(tǒng)(IFE)

按照FBI的書面陳述，羅伯茨冊(cè)通過(guò)IFE訪問(wèn)到的推進(jìn)管理系統(tǒng)。他在松下和泰利斯(法國(guó)電子企業(yè)，生產(chǎn)各種國(guó)防和航空工業(yè)的安全產(chǎn)品和組件)生產(chǎn)的兩套系統(tǒng)中發(fā)現(xiàn)了一些漏洞。在至少15次飛行中，羅伯茨通過(guò)座椅底下安裝的電子盒(SEB)入侵了IEF。他通過(guò)“擠壓和扭動(dòng)”蓋子以打開電子盒，然后把一根端口經(jīng)過(guò)改裝的Cat6以太網(wǎng)線接到盒子上，另一端插在他的筆記本電腦。至少在一次飛行中，他利用默認(rèn)的ID和口令訪問(wèn)IFE，然后設(shè)法進(jìn)入推進(jìn)管理系統(tǒng)的計(jì)算機(jī)。

IFE通過(guò)嵌入在椅背、扶手或天花板上的屏幕為乘客提供音頻和視頻娛樂(lè)，這些顯示屏還可以顯示飛機(jī)的飛行路線、速度與當(dāng)前位置的動(dòng)態(tài)地圖。航空系統(tǒng)與IFE之間的確存在連接，但是這個(gè)連接是有限制的。

索西和萊姆認(rèn)為，這個(gè)連接只允許單向數(shù)據(jù)通信。兩個(gè)系統(tǒng)之間通過(guò)ARINC429數(shù)據(jù)總線連接，通過(guò)這個(gè)鏈接把航空系統(tǒng)的信息傳遞給IFE，包括飛機(jī)的緯度、經(jīng)度和速度。IFE再把這些數(shù)據(jù)進(jìn)行處理，最終得以讓乘客在地圖上看到飛機(jī)的運(yùn)動(dòng)狀況。

萊姆表示，“在每架飛機(jī)上都有點(diǎn)不一樣的地方，各自的處理方式不同。”但無(wú)論怎樣，ARINC429是一臺(tái)只允許接收來(lái)自航空系統(tǒng)數(shù)據(jù)的設(shè)備，不可以逆向返回。想要回傳數(shù)據(jù)的話，必須增加一臺(tái)輸入的總線設(shè)備。“我無(wú)法想像為什么要增加一臺(tái)這樣的交互設(shè)備，即使有的話，我也從未聽說(shuō)過(guò)。”

我嚴(yán)重懷疑他(指羅伯茨)能突破IFE系統(tǒng)之外。

技術(shù)分析人員解釋的情況似乎與波音公司在官方聲明中描述的一樣，“接收位置數(shù)據(jù)并建立通信連接”到飛機(jī)上其他的系統(tǒng)，但它們與執(zhí)行關(guān)鍵功能的系統(tǒng)是“隔離的”。事情至此，似乎可以認(rèn)為飛機(jī)的航空控制系統(tǒng)是安全的了。但是，網(wǎng)上發(fā)現(xiàn)的另一份文檔再次讓事情變得復(fù)雜起來(lái)。

一份波音官方網(wǎng)站上公開的介紹文檔顯示，波音777系列使用的是ARINC629總線設(shè)備，而這種設(shè)備是雙向通信的。

777系統(tǒng)中的一個(gè)關(guān)鍵部分就是波音取得專利的雙向數(shù)據(jù)總線ARINC629，此專利已被當(dāng)做新的行業(yè)標(biāo)準(zhǔn)采用。它允許飛機(jī)系統(tǒng)和關(guān)聯(lián)的計(jì)算機(jī)彼此共用一條線路(纏繞著的一對(duì)線)通信，而不是分開的單向線路連接。這進(jìn)一步簡(jiǎn)化了安裝并減輕了重量，同時(shí)也由于降低了線路及其連接器的使用量而增加了系統(tǒng)的可靠性。777系統(tǒng)中有11套ARINC629。

然而，并不清楚ARINC629是否僅用航空系統(tǒng)中關(guān)鍵組件之間的通信，或者這樣說(shuō)，是否被用來(lái)在航空系統(tǒng)與非關(guān)鍵系統(tǒng)比如IFE之間的通信。波音公司并沒(méi)有對(duì)這樣的問(wèn)題做出回答。

不過(guò)，萊姆認(rèn)為波音公司是否回答這個(gè)問(wèn)題并不重要。因?yàn)榧词箶?shù)據(jù)可以從IFE發(fā)往航空系統(tǒng)，后者也會(huì)拒絕接收。因?yàn)樵诤娇障到y(tǒng)的編程規(guī)則中已經(jīng)把IFE設(shè)為不受信任的系統(tǒng)，是不應(yīng)該給關(guān)鍵系統(tǒng)發(fā)送數(shù)據(jù)的。

“作為系統(tǒng)需要的一部分，數(shù)據(jù)交換規(guī)則都是預(yù)先編制好的，每一臺(tái)發(fā)射器或接收器都會(huì)以特定的速率提供特定的數(shù)據(jù)。每臺(tái)接收裝置都會(huì)檢測(cè)數(shù)據(jù)的合法性，是否應(yīng)該接收。”

因此問(wèn)題的關(guān)鍵是，編程規(guī)則的限制是否在航空軟件中正確的實(shí)施以拒絕不合法的通信。萊姆表示，航空系統(tǒng)設(shè)計(jì)都是按照嚴(yán)格的標(biāo)準(zhǔn)并經(jīng)過(guò)大量的代碼評(píng)審和測(cè)試的，以確保某些系統(tǒng)不可以與關(guān)鍵系統(tǒng)會(huì)話。

“大家猜測(cè)，如果系統(tǒng)沒(méi)有100%正確實(shí)施的話，就有可能會(huì)留下漏洞，導(dǎo)致能夠訪問(wèn)關(guān)鍵系統(tǒng)。但我并不相信有這種漏洞存在。我的確相信可以有辦法進(jìn)入設(shè)備，但我不相信能在飛行中控制設(shè)備。因?yàn)檫@樣做必須對(duì)設(shè)備重新編程。”

萊姆指出，也許現(xiàn)在有一些飛機(jī)使用以太連接來(lái)代替ARINC429，把航空系統(tǒng)發(fā)來(lái)的數(shù)據(jù)傳送給IFE。但如果有這種設(shè)計(jì)的話，在航空系統(tǒng)和IFE之前也肯定會(huì)部署一個(gè)設(shè)備，以確保數(shù)據(jù)安全的傳遞給IFE，同時(shí)禁止數(shù)據(jù)從IFE返回給航空系統(tǒng)。

網(wǎng)上可以查詢到由航空電子工程委員會(huì)飛行器數(shù)據(jù)網(wǎng)絡(luò)工作組主席簡(jiǎn)鮑羅·摩羅克斯做的一個(gè)PPT文件。這份2004年或之后撰寫的文檔討論了把ARINC429轉(zhuǎn)成以太網(wǎng)的建議，但這份建議是否被接受并實(shí)施目前尚不得而知。但萊姆認(rèn)為，盡管一些飛機(jī)可能在航空系統(tǒng)中使用以太網(wǎng)，他們也會(huì)使用一種稱之為“航空完全雙工網(wǎng)關(guān)”的以太網(wǎng)。這種設(shè)備是Airbus的專利，并且只用于航空系統(tǒng)的關(guān)鍵組件中，而不是用于IFE或其他非關(guān)鍵系統(tǒng)中。

#p#

衛(wèi)星通信系統(tǒng)

羅伯茨曾在4月份的一次采訪中表示，他發(fā)現(xiàn)了漏洞得以從衛(wèi)星通信系統(tǒng)(SATCOM)進(jìn)入IFE和機(jī)艙管理系統(tǒng)，其中一個(gè)駕駛艙管理系統(tǒng)負(fù)責(zé)控制乘客使用的氧氣罩。羅伯茨表示，他能夠觸發(fā)氧氣罩部署，但他并沒(méi)有這樣做。羅伯茨還認(rèn)為可以通過(guò)機(jī)艙管理系統(tǒng)訪問(wèn)航空系統(tǒng)，但他并沒(méi)有確認(rèn)這一點(diǎn)。

前文中FBI的那份書面陳述并沒(méi)有提及衛(wèi)星通信系統(tǒng)，但萊姆表示羅伯茨通過(guò)衛(wèi)星通信系統(tǒng)也同樣不能訪問(wèn)航空設(shè)備。

衛(wèi)星通信系統(tǒng)通常安裝在飛機(jī)后部的天花板上，通過(guò)線路連接到駕駛艙飛行面板底下的航空系統(tǒng)設(shè)備。包括經(jīng)度、緯度和速度等飛行數(shù)據(jù)通過(guò)一臺(tái)ARINC429(與IFE通信的429不同)發(fā)送給衛(wèi)星通信系統(tǒng)。后者使用這些數(shù)據(jù)來(lái)調(diào)整飛機(jī)頂部的天線，以發(fā)送無(wú)線電信號(hào)給最近方向的衛(wèi)星。萊姆和一位長(zhǎng)期私人飛機(jī)駕駛員，前某衛(wèi)星通信公司的所有人邁克爾·伊克斯納均表示，這些數(shù)據(jù)也是單向的。

航空系統(tǒng)還有一條單獨(dú)的數(shù)據(jù)鏈路通往衛(wèi)星通信系統(tǒng)，用來(lái)與地面互動(dòng)傳送來(lái)自ACARS管理系統(tǒng)的數(shù)據(jù)，這個(gè)接口是雙向的，允許信息出入飛機(jī)。而且，衛(wèi)星通信系統(tǒng)也會(huì)單獨(dú)的把乘客通信信息發(fā)給地面，如信用卡交易、互聯(lián)網(wǎng)訪問(wèn)和電子郵件。

萊姆表示，所有在航空系統(tǒng)與衛(wèi)星通信系統(tǒng)，IFE與衛(wèi)星系統(tǒng)之間的通信都是通過(guò)單獨(dú)的、專用的無(wú)線頻道。“我們有專門為乘客機(jī)艙使用的和專門為飛行員使用的無(wú)線電，它們是物理隔離的，不可能有交集。”

因此，通過(guò)衛(wèi)星通信系統(tǒng)控制飛機(jī)的理論也說(shuō)不通。

吹牛大王?

所有的這些內(nèi)容似乎都說(shuō)明了，羅伯茨不可能黑進(jìn)飛機(jī)的推進(jìn)系統(tǒng)，進(jìn)而操縱飛機(jī)。無(wú)論是通過(guò)IFE，還是衛(wèi)星通信，或是其他什么系統(tǒng)。但話又說(shuō)回來(lái)，F(xiàn)BI的書面陳述該如何解釋呢?

羅伯茨曾表示，F(xiàn)BI的書面陳述是斷章取義的。他與FBI有過(guò)多次談話，陳述中把談話內(nèi)容的一小部分強(qiáng)調(diào)了出來(lái)。也就是說(shuō)，F(xiàn)BI是經(jīng)過(guò)精挑細(xì)選，并且前后混合了羅伯茨的語(yǔ)言。

伊克斯納與羅伯茨曾在5月初一起吃午飯，聊了很長(zhǎng)時(shí)間。伊克斯納直截了當(dāng)?shù)膯?wèn)羅伯茨，是否真的控制過(guò)一架飛行中的飛機(jī)。“他說(shuō)不，他說(shuō)事情將會(huì)讓我相信他是在仿真環(huán)境下做的，而不是在一架真飛機(jī)上。”至于羅伯茨到底在真實(shí)飛行中做過(guò)什么，伊克斯納表示：“我嚴(yán)重懷疑他能突破IFE系統(tǒng)之外。”

他覺(jué)得羅伯茨可能侵入了IFE，“而且相信自己看到了看起來(lái)像是來(lái)自其他網(wǎng)絡(luò)的大量流量，但很可能沒(méi)有回去的通道。不過(guò)，這主要是我自己猜測(cè)的。”伊克斯納表示羅伯茨的話通常都帶著諷刺意味，很難從語(yǔ)法上區(qū)分哪句是真的哪句是假的。“他說(shuō)過(guò)的話有很多不能當(dāng)真，我覺(jué)得FBI的書面陳述就是他這種混亂溝通方式的結(jié)果。”

但羅伯茨堅(jiān)持他檢測(cè)的飛機(jī)網(wǎng)絡(luò)是可以被入侵的，而波音公司則繼續(xù)堅(jiān)持航空系統(tǒng)至少是入侵不了的。最終，除非羅伯茨確認(rèn)無(wú)疑的把他所說(shuō)的漏洞披露出來(lái)，并且解釋他是如何進(jìn)入航空系統(tǒng)的，否則一切都是空談。波音公司可以保證它的飛機(jī)網(wǎng)絡(luò)是安全的以打消人們的疑問(wèn)，但波音至今為止拒絕公開發(fā)表這些言論。

不管羅伯茨是否入侵了飛機(jī)，萊姆認(rèn)為有一件事情是確認(rèn)無(wú)疑的。“乘客去連接他們不該連接的東西……我們至少可以說(shuō)這是在干壞事，無(wú)異于拿著一把錘子在飛機(jī)上敲打。這顯然是犯罪行為，而不是一次偶然的練習(xí)。”

原文地址：http://www.aqniu.com/news/8060.html