黑客是否能侵入商业飞机电脑系统?

软件先锋 2016-01-01 17:18网络整理点击: 标签:

据国外媒体报道,前不久,美国一位航空安全专家克里斯·罗伯茨在推特上发消息称,他能轻松入侵联合航空公司飞机的娱乐系统。这一消息引起了美国联邦调查局的注意,随后克里斯·罗伯茨也被联邦调查局扣押,他还被联合航空公司禁止乘坐所有该公司的航班。

在航空安全界看来,联邦调查局和联合航空公司的举动有些反应过度。不过,根据联邦调查局近日公布的口供书,罗伯茨承认自己曾经在飞机飞行中侵入过系统,使飞机稍稍地偏移了航程。这一消息立刻让公众感到了深深的不安,一位专业的安全研究人员怎么能在空中就进行一场未授权的飞机网络安全测试呢?

也有一些人对联邦调查局公布的信息提出了质疑,他们坚持称,事实如果不是联邦调查局误解了罗伯茨,就是罗伯茨编造了一个谎言。波音公司和一些独立航空专家指 出,联邦调查局的口供书所描述的情形在技术上是不可能的。波音公司在声明中称:“尽管这些系统会接收(飞机)位置数据,并且具有通讯连接,但设计上会将它 们与飞机上具有关键和必要功能的其他系统隔离开。”

这一声明有些自相矛盾的地方。航空电子设备是否通过通讯系统与娱乐网络连接,还是完全隔离?如果有连接,那波音公司怎么能肯定黑客不会从娱乐系 统侵入到电子设备上,进而操纵飞机呢?毕竟,美国政府问责局(GAO)于4月发布的报告表达了对此问题的担忧,而在美国联邦航空管理局(FAA)2008 发给波音公司的文件中也关注了这个问题。

联邦调查局的调查

根据口供书,罗伯茨称自己能侵入飞机娱乐系统,并能接入推力管理计算机(Thrust Management Computer,TMC)。TMC与自动驾驶仪一起工作,能计算不同条件下发动机应具备的动力情况。

口供书中还指出,罗伯茨能够发布一个“爬升指令”,从而导致飞机的一个发动机开始向上爬升,引起飞机在侧面的移动。许多评论者认为飞机不大可能 做“侧面飞行”,但根据FAA一位前调查员David Soucie的说法,由于发动机推力改变,飞机是有可能偏移预定航线的。

如果一台发动机推力增加,另一台没有,就可能造成扭转,使飞机变得不平衡。但是,如果飞机具有补偿这种现象的设计,那即使你关掉一台发动机,让另一台发动机 全力运行,飞机也不会发生侧翻。在自动驾驶的情况下——通常是在巡航高度——电脑会感知发动机推力的变化并做出修正,使飞机保持在航线上。如果自动驾驶系 统关闭,发动机的一次“突进”就会导致机翼的下沉,从而轻微地拖动飞机。David Soucie说:“你必须真正地改变节流阀,乘客会真切地感受到这一点,才能将飞机拖出航线。”

不过,通过乘客座椅来发出命令改变发动机的推力就是另一回事了。David Soucie与一些人都同意波音公司的观点,即这样做是不可能的。与波音公司不同,他们提出了更加清楚的解释。

Peter Lemme曾 经是波音公司推力管理系统的工程师,他宣称,推力管理系统提供了控制发动机推力的自动节流阀功能,而且不允许发动机的节流阀独自进行工作。“自动节流阀要 使发动机一起工作,它不会使发动机分开,”他说,“唯一的指令是使它们一起工作,而不是将它们分开。”按这一说法,罗伯茨不可能发出使单独一个发动机“突 进”的指令。

唯一能改变单独发动机推力的方法是,侵入系统内部,改写控制节流阀的程序。但是,你不能仅仅改写一个程序,系统中有许多联锁来确保程序不会改变 飞行。而且,如果自动节流阀出现了超常规的现象,飞行员会迅速进行手动操作。“飞行员会控制节流阀,他们的手会胜出,”Peter Lemme说,“这些开关会使电脑失去控制飞行的能力。”

那么,既然罗伯茨无法改变发动机的推力,那他是否能侵入航空电子系统,做一些其他事情呢?David Soucie和Peter Lemme的答案都是不行。

飞行娱乐系统

罗伯茨供称,他是通过飞行娱乐系统连接到推力管理系统的。具体而言,他是从飞行娱乐系统的两个模型找到了突破口,这两个模型分别由松下公司和法 国泰雷斯(Thales)公司制造。在至少15次飞行中,罗伯茨通过座位下方的“座位电子箱”,用物理方法直接连入飞行娱乐系统。他“摇晃并挤压那个箱 子”,取下盖子,然后用改装的Cat6以太网线缆将箱子与笔记本电脑连接起来。在至少一次飞行中,他利用默认用户名和密码进入了飞行娱乐系统,然后侵入推 力管理系统。

通过座椅背后、扶手或天花板上的显示器,飞行娱乐系统可以为乘客提供声音和视频娱乐。该系统还能提供动画地图,显示飞行路线以及飞机的速度和实时航程。航空电子设备与娱乐系统之间确实存在连接,但程序中会有中止警示。

航空专家称,这两个系统之间只允许单向的数据通讯。通过一个ARINC 429数据总线,信息从航空电子系统传输到飞行娱乐系统中,包括飞机的经度、纬度和速度。飞行娱乐系统利用这些信息生成动画地图。

ARINC 429数据总线只允许数据从电子设备输出到飞行娱乐系统,不能反过来。如果要反馈回来的话,就需要第二个输入总线。“我无法想象为什么会有类似这样的界面。如果它存在,那就是我没听说过。”Peter Lemme说道。

这看起来正是波音公司在声明中所解释的,尽管飞行系统“接收位置数据并具有与(其他系统)的通讯连接”,但它们与那些具有关键功能的系统是隔离 的。不过,也有媒体找到了一份报告,显示波音公司的777客机采用的是ARINC 629数据总线,而这种产品的设计是可以双向通讯的。

不 过,我们并不清楚这种双向通讯是否用在了那些关键的航空电子系统中,抑或是用在电子设备与非关键系统,如飞行娱乐系统之间。波音公司还没有对此作出回应。 也有专家认为这并没有什么关系。即使数据从飞行娱乐系统传输回到航空电子系统,后者也会知道不能接受这些数据,因为预先编码的规则会将这些数据识别为不可 信任的,并终止传输。

本案中最大的问题在于,航空电子系统中这些严格的程序编码是否能准确地拒绝通讯。Peter Lemme称,航空电子系统的设计遵循严格的标准,并且经过大量的代码检查和测试,以确保关键的系统不会收到反常的信息。