上周二，美國政府問責辦公室(GAO)發布了一份關于網絡安全方面的報告，該報告中警告了美國商業飛機容易遭到黑客攻擊。僅過了一天，一名安全研究人員在美國聯合航空的航班上發了條推特，開玩笑說要黑了這機飛機上的通信系統。一時間，全球的媒體開始忙活起來，紛紛報道黑客可以通過WiFi控制飛機。比如，改變飛機航向或關閉引擎，直接讓飛機掉下來。

實際上早在去年夏天的黑客大會上，研究人員魯本·圣馬爾塔就表示他已經找到利用飛機上的WiFi和娛樂系統攻擊民航客機上衛星通信設備的方法。而且，魯本之前在4月份就曾發表一份25頁的研究報告，詳細闡述了Cobham、Harris、休斯、Iridium和Japan Radio等公司生產的面向多種行業的衛星通信設備固件中存在多處漏洞。

此外，GAO也在今年3月分發布過一份42頁的名為《信息安全：聯邦航空管理局須處理空中交通管制系統的薄弱環節》的報告，報告列出了要保證空管系統安全就必須做到的17項公開的和168項機密的措施。

問題來了，如果想黑掉一架飛機，其可能性有多大呢？

惹禍的WiFi

飛機和地面控制中心的通信或為無線電或為衛星，而WiFi則是另一回事，它的通信距離短，一般只用于家庭或較封閉的公共場所。飛機上提供WiFi是為了方便機組成員和旅客的需要。

但是，在飛機上布置WiFi并不簡單。美國聯邦航空管理局(即FAA)不僅需要對WiFi設備進行測試和認證，還需要評估這些設備可能會對特定型號的飛機安全運行所帶來的影響。

不幸的是，盡管FAA非常重視飛機上的WiFi安全問題，但那些成堆的文件和檢測清單中卻明顯沒有把惡意入侵問題列在前面的位置。這也正是GAO在不到2個月的時間里一連提交兩個報告的重要原因。

閱讀GAO的報告，你會發現傳統的FAA管理機制與現代的網絡安全意識格格不入。與傳統的操作桿加儀表盤和無線電為基本架構的早期飛機不同，現代的飛機充斥著數據屏幕、文件服務器、操作系統、大容量存儲設備、多重網絡和各種網絡設備。

想要對此有一個直觀上的認識，可以看一下這份波音737 MAX的網絡系統介紹。(http://www.boeing.com/commercial/aeromagazine/articles/2014_q3/pdf/AERO_2014q3.pdf)

盡管介紹中的圖表并不是很精確，但從其文字介紹中可以看出，乘客無線網、機組成員無線網、文件服務器、存儲設備和發動機系統是一個用IP統一連接在一起的單獨系統。

如果不同的通信網絡共享某些設備，通過入侵這些設備以從網絡的一個區域訪問另一個區域甚至整個區域，并不是不可能的。簡而言之，進入其中某部分就有可能掌控整個網絡。

GAO的報告提到了如何使用軟件防火墻來分隔不同的網絡，一些更加擔心的人則建議應該使用硬件防火墻。但實際上這是廢話。不管是什么防火墻，都可以被入侵。雖然硬件聽上去更保險些，但硬件防火墻打補丁卻是一件麻煩事。不信可以問問路由器網關的維護人員，他們每次給網絡設備的固件更新時有多么痛苦。更不用說，缺乏安全意識的航空人員很可能會在多個系統甚至是多架飛機中共享一套登錄口令了。

好吧，現在可以下結論了。是的，商業航空非常有可能被黑客通過WiFi訪問到飛機的控制系統。而且，這種風險是越來越大。要知道，對于那些經常飛來飛去的，在天空上一呆數小時的安全人員來說，還有什么事能比試著入侵航空系統更刺激的呢?如果有些安全人員碰巧是恐怖分子呢?也許，某些飛機的系統中已經被埋下了危險的種子。

問題又來了，我們是否有必要因黑客攻擊而恐懼飛行呢?

實際上，在飛機上的不同網絡之間進行通信有著巨大的難度，更不用說將飛機控制或墜毀了。

首先，大多數飛機并不像上文中的737 MAX計算機系統那樣使用統一的網絡。而且，最重要的一點就是，在大多數噴氣式飛機上，這種可以用來干擾數字通信的無線訪問根本不存在。控制飛機飛行的主要是通過由地面控制中心發送的“fly-by-wire”(電傳飛行控制)無線通信信號，而不是運行數字電路的計算機網絡。

其次，不同的飛機其網絡配置和認證機制不同。它們更多的使用種類和版本繁雜的Linux而不是統一齊劃的Windows或OS X。每種不同的系統都需要去了解和滲透，盡管有著各種漏洞、弱口令，但飛機型號、系統版本、設備型號的不同，對于黑客來說，想去了解并掌控幾乎是個不可能的任務。當然，僅對外部人員而言。

第三，航空監管機構、飛機生產商和航空公司并沒有在大舉推行無線網絡的解決方案。航空安全的敏感性，讓任何一個業內專家在改造飛行系統的規劃中都會慎之又慎。

第四，也是非常重要的，飛機上的系統有著大量的備份和自動防故障機制。飛機駕駛員無數次的訓練，也主要是針對解決系統問題，他們能夠分離、斷開或忽略有故障的系統。實際上，在正常的飛行中，他們就一直在不斷地做著這些事，乘客只是一無所知罷了。

最后，人們的恐慌只緣自于GAO的報告和媒體的炒作。仔細閱讀報告你會發現，GAO的報告只是在提醒人們，隨著網絡化更深地滲入到航空中，如果現在不開始注意網絡安全，則以后必然會發生網絡安全問題，注意是“如果”和“以后”。

原文地址：http://www.aqniu.com/neo-points/7434.html