本周二早晨，美國聯(lián)合航空公司所有航班都被下令不得起飛，將近一個小時之后才解除禁飛令。官方解釋是調度信息出問題，非外部原因導致。但有些乘客發(fā)推特聲稱，飛機上的工作人員告之因黑客入侵，導致系統(tǒng)彈出偽造的飛行計劃。

[[136096]]

自從安全研究人員克里斯·羅伯茨在飛機上發(fā)推特，說是要黑掉飛機之后，安全圈對于此事的爭論就一直沒有停息。但大部人還是認為美國聯(lián)邦調查局大驚小怪，聯(lián)合航空禁止他以后乘坐飛機的決定更是反應過激。雖然也有人半信半疑，尤其那些是喜愛炒作的媒體和寧可信其有不可信其無的外行人。但之后的事情似乎又起了變化。

FBI書面陳述

上個月，聯(lián)邦調查局(FBI)提交到法庭的書面陳述聲稱，羅伯特承認曾入侵其乘坐飛機的飛行娛樂系統(tǒng)，并輕微改變其航向。這份正式提交到聯(lián)邦地方法庭的書面陳述改變了一些人對FBI的不屑態(tài)度，并轉向對羅伯茨的憤怒。

一個職業(yè)安全人員怎么能將乘客的生命安全棄之不顧，對正在飛行中的飛機進行非法的網絡系統(tǒng)滲透測試呢?

不過，還是有一些人對FBI的書面陳述產生置疑。他們認為，要么是FBI理解錯了羅伯茨的話語，要么就是羅在吹牛。波音官方和第三方航空專家聲稱，FBI的書面陳述在技術上是不可能的。

當這些系統(tǒng)接收(飛機)位置數據并建立通信連接時，飛機上執(zhí)行關鍵和基本功能的系統(tǒng)是與之隔離的。

這個聲明聽起來有些令人費解。到底航空系統(tǒng)與娛樂網絡是連著的還是隔離的?而且如果是連接的，波音又怎能斷定黑客無法從娛樂系統(tǒng)進入航空系統(tǒng)進而操縱飛機?要知道，，美國政府問責辦公室(GAO)就在今年兩次發(fā)報告警告美國商業(yè)飛機容易遭到黑客攻擊。

看來此事并非空穴來風，那我們只好仔細的研究一下FBI的這份書面陳述了。

按照聯(lián)邦法院公開的文檔，FBI特工馬克·赫雷在5月份拿到搜查證得以搜查羅伯茨的計算機。羅伯茨配合調查時告訴他，自己在某架航班上訪問過飛行娛樂系統(tǒng)(IFE)，并訪問了“推進管理計算機”(TMC)。這臺設備與自動駕駛協(xié)同工作，計算不同情況下引擎的動力并予以維持。

文檔中還表示，羅伯茨發(fā)送了一個“爬升命令”，“引起飛機的一部引擎爬升，造成飛機側飛或斜飛。”

許多人對“側飛”提出異議，覺得大型客機做出這種動作不大可能。但聯(lián)邦航空署的一位前調查人員大衛(wèi)·索西認為，陳述中所說的“側飛”很可能是指飛機頭由于一個引擎的推動被稍稍改變了一下方向而已，這種情形在沒有接入自動駕駛的情況下是可以發(fā)生的。

索西表示，如果一側的引擎推進力增加，會產生扭矩而造成飛機失衡。但飛機的設計會補償這種情況以保持平衡，“你可以關掉一個引擎，另一個引擎開啟全速推進，飛機也不會翻過來，或是側飛。”即使像通常那樣，在巡航高度接入自動駕駛，在發(fā)生這種情況時，計算機也能查覺到某個引擎的推進，并給予修正以保持飛機航向。如果自動駕駛被關掉，推進力“會令機翼下沉”，輕微的拉動飛機。要達到這一點，“你必須真得去調節(jié)油門，以改變原來的航向，而這是會引起乘客注意的。”飛機頭會輕微的往引擎推進相反的方向改變。

然而，是否能夠從乘客座位上發(fā)送命令造成這種現象，則是另一回事。索西與波音的觀點一致，不可能。但與波音不一樣的是，索西把原因講得很清楚。

有著8年工作經驗的波音前首席工程師彼特·萊姆表示，提供自動油門功能的系統(tǒng)實際上控制著引擎推進，其并不允許其中一個引擎油門獨立操作運行。

“自動油門要把引擎保持在一起，不會分開引擎。唯一(有效)的指令是把他們聯(lián)在一起，而不是把它們分開。”因此，羅伯茨無法發(fā)送讓一個引擎推進的指令，也沒有這樣的指令。

入侵系統(tǒng)以控制引擎推動唯一的方法就是訪問裝有控制系統(tǒng)的設備，并且對其油門軟件進行重新編程。但這個設備是無法重新編程的，它有著各種各樣聯(lián)動機制，以確保軟件無法在飛行中被改變。而且，如果自動油門真的出了問題，飛行員也會立刻掌控飛機的。“飛行員能夠控制油門，手動操作控制權要大于計算機。”

那么，如果羅伯茨不能改變引擎推動力，但他至少能夠訪問航空系統(tǒng)來做其他的事情嗎?索西和萊姆的回答是“不”。#p#

飛行娛樂系統(tǒng)(IFE)

按照FBI的書面陳述，羅伯茨冊通過IFE訪問到的推進管理系統(tǒng)。他在松下和泰利斯(法國電子企業(yè)，生產各種國防和航空工業(yè)的安全產品和組件)生產的兩套系統(tǒng)中發(fā)現了一些漏洞。在至少15次飛行中，羅伯茨通過座椅底下安裝的電子盒(SEB)入侵了IEF。他通過“擠壓和扭動”蓋子以打開電子盒，然后把一根端口經過改裝的Cat6以太網線接到盒子上，另一端插在他的筆記本電腦。至少在一次飛行中，他利用默認的ID和口令訪問IFE，然后設法進入推進管理系統(tǒng)的計算機。

IFE通過嵌入在椅背、扶手或天花板上的屏幕為乘客提供音頻和視頻娛樂，這些顯示屏還可以顯示飛機的飛行路線、速度與當前位置的動態(tài)地圖。航空系統(tǒng)與IFE之間的確存在連接，但是這個連接是有限制的。

索西和萊姆認為，這個連接只允許單向數據通信。兩個系統(tǒng)之間通過ARINC429數據總線連接，通過這個鏈接把航空系統(tǒng)的信息傳遞給IFE，包括飛機的緯度、經度和速度。IFE再把這些數據進行處理，最終得以讓乘客在地圖上看到飛機的運動狀況。

萊姆表示，“在每架飛機上都有點不一樣的地方，各自的處理方式不同。”但無論怎樣，ARINC429是一臺只允許接收來自航空系統(tǒng)數據的設備，不可以逆向返回。想要回傳數據的話，必須增加一臺輸入的總線設備。“我無法想像為什么要增加一臺這樣的交互設備，即使有的話，我也從未聽說過。”

我嚴重懷疑他(指羅伯茨)能突破IFE系統(tǒng)之外。

技術分析人員解釋的情況似乎與波音公司在官方聲明中描述的一樣，“接收位置數據并建立通信連接”到飛機上其他的系統(tǒng)，但它們與執(zhí)行關鍵功能的系統(tǒng)是“隔離的”。事情至此，似乎可以認為飛機的航空控制系統(tǒng)是安全的了。但是，網上發(fā)現的另一份文檔再次讓事情變得復雜起來。

一份波音官方網站上公開的介紹文檔顯示，波音777系列使用的是ARINC629總線設備，而這種設備是雙向通信的。

777系統(tǒng)中的一個關鍵部分就是波音取得專利的雙向數據總線ARINC629，此專利已被當做新的行業(yè)標準采用。它允許飛機系統(tǒng)和關聯(lián)的計算機彼此共用一條線路(纏繞著的一對線)通信，而不是分開的單向線路連接。這進一步簡化了安裝并減輕了重量，同時也由于降低了線路及其連接器的使用量而增加了系統(tǒng)的可靠性。777系統(tǒng)中有11套ARINC629。

然而，并不清楚ARINC629是否僅用航空系統(tǒng)中關鍵組件之間的通信，或者這樣說，是否被用來在航空系統(tǒng)與非關鍵系統(tǒng)比如IFE之間的通信。波音公司并沒有對這樣的問題做出回答。

不過，萊姆認為波音公司是否回答這個問題并不重要。因為即使數據可以從IFE發(fā)往航空系統(tǒng)，后者也會拒絕接收。因為在航空系統(tǒng)的編程規(guī)則中已經把IFE設為不受信任的系統(tǒng)，是不應該給關鍵系統(tǒng)發(fā)送數據的。

“作為系統(tǒng)需要的一部分，數據交換規(guī)則都是預先編制好的，每一臺發(fā)射器或接收器都會以特定的速率提供特定的數據。每臺接收裝置都會檢測數據的合法性，是否應該接收。”

因此問題的關鍵是，編程規(guī)則的限制是否在航空軟件中正確的實施以拒絕不合法的通信。萊姆表示，航空系統(tǒng)設計都是按照嚴格的標準并經過大量的代碼評審和測試的，以確保某些系統(tǒng)不可以與關鍵系統(tǒng)會話。

“大家猜測，如果系統(tǒng)沒有100%正確實施的話，就有可能會留下漏洞，導致能夠訪問關鍵系統(tǒng)。但我并不相信有這種漏洞存在。我的確相信可以有辦法進入設備，但我不相信能在飛行中控制設備。因為這樣做必須對設備重新編程。”

萊姆指出，也許現在有一些飛機使用以太連接來代替ARINC429，把航空系統(tǒng)發(fā)來的數據傳送給IFE。但如果有這種設計的話，在航空系統(tǒng)和IFE之前也肯定會部署一個設備，以確保數據安全的傳遞給IFE，同時禁止數據從IFE返回給航空系統(tǒng)。

網上可以查詢到由航空電子工程委員會飛行器數據網絡工作組主席簡鮑羅·摩羅克斯做的一個PPT文件。這份2004年或之后撰寫的文檔討論了把ARINC429轉成以太網的建議，但這份建議是否被接受并實施目前尚不得而知。但萊姆認為，盡管一些飛機可能在航空系統(tǒng)中使用以太網，他們也會使用一種稱之為“航空完全雙工網關”的以太網。這種設備是Airbus的專利，并且只用于航空系統(tǒng)的關鍵組件中，而不是用于IFE或其他非關鍵系統(tǒng)中。

#p#

衛(wèi)星通信系統(tǒng)

羅伯茨曾在4月份的一次采訪中表示，他發(fā)現了漏洞得以從衛(wèi)星通信系統(tǒng)(SATCOM)進入IFE和機艙管理系統(tǒng)，其中一個駕駛艙管理系統(tǒng)負責控制乘客使用的氧氣罩。羅伯茨表示，他能夠觸發(fā)氧氣罩部署，但他并沒有這樣做。羅伯茨還認為可以通過機艙管理系統(tǒng)訪問航空系統(tǒng)，但他并沒有確認這一點。

前文中FBI的那份書面陳述并沒有提及衛(wèi)星通信系統(tǒng)，但萊姆表示羅伯茨通過衛(wèi)星通信系統(tǒng)也同樣不能訪問航空設備。

衛(wèi)星通信系統(tǒng)通常安裝在飛機后部的天花板上，通過線路連接到駕駛艙飛行面板底下的航空系統(tǒng)設備。包括經度、緯度和速度等飛行數據通過一臺ARINC429(與IFE通信的429不同)發(fā)送給衛(wèi)星通信系統(tǒng)。后者使用這些數據來調整飛機頂部的天線，以發(fā)送無線電信號給最近方向的衛(wèi)星。萊姆和一位長期私人飛機駕駛員，前某衛(wèi)星通信公司的所有人邁克爾·伊克斯納均表示，這些數據也是單向的。

航空系統(tǒng)還有一條單獨的數據鏈路通往衛(wèi)星通信系統(tǒng)，用來與地面互動傳送來自ACARS管理系統(tǒng)的數據，這個接口是雙向的，允許信息出入飛機。而且，衛(wèi)星通信系統(tǒng)也會單獨的把乘客通信信息發(fā)給地面，如信用卡交易、互聯(lián)網訪問和電子郵件。

萊姆表示，所有在航空系統(tǒng)與衛(wèi)星通信系統(tǒng)，IFE與衛(wèi)星系統(tǒng)之間的通信都是通過單獨的、專用的無線頻道。“我們有專門為乘客機艙使用的和專門為飛行員使用的無線電，它們是物理隔離的，不可能有交集。”

因此，通過衛(wèi)星通信系統(tǒng)控制飛機的理論也說不通。

吹牛大王?

所有的這些內容似乎都說明了，羅伯茨不可能黑進飛機的推進系統(tǒng)，進而操縱飛機。無論是通過IFE，還是衛(wèi)星通信，或是其他什么系統(tǒng)。但話又說回來，FBI的書面陳述該如何解釋呢?

羅伯茨曾表示，FBI的書面陳述是斷章取義的。他與FBI有過多次談話，陳述中把談話內容的一小部分強調了出來。也就是說，FBI是經過精挑細選，并且前后混合了羅伯茨的語言。

伊克斯納與羅伯茨曾在5月初一起吃午飯，聊了很長時間。伊克斯納直截了當的問羅伯茨，是否真的控制過一架飛行中的飛機。“他說不，他說事情將會讓我相信他是在仿真環(huán)境下做的，而不是在一架真飛機上。”至于羅伯茨到底在真實飛行中做過什么，伊克斯納表示：“我嚴重懷疑他能突破IFE系統(tǒng)之外。”

他覺得羅伯茨可能侵入了IFE，“而且相信自己看到了看起來像是來自其他網絡的大量流量，但很可能沒有回去的通道。不過，這主要是我自己猜測的。”伊克斯納表示羅伯茨的話通常都帶著諷刺意味，很難從語法上區(qū)分哪句是真的哪句是假的。“他說過的話有很多不能當真，我覺得FBI的書面陳述就是他這種混亂溝通方式的結果。”

但羅伯茨堅持他檢測的飛機網絡是可以被入侵的，而波音公司則繼續(xù)堅持航空系統(tǒng)至少是入侵不了的。最終，除非羅伯茨確認無疑的把他所說的漏洞披露出來，并且解釋他是如何進入航空系統(tǒng)的，否則一切都是空談。波音公司可以保證它的飛機網絡是安全的以打消人們的疑問，但波音至今為止拒絕公開發(fā)表這些言論。

不管羅伯茨是否入侵了飛機，萊姆認為有一件事情是確認無疑的。“乘客去連接他們不該連接的東西……我們至少可以說這是在干壞事，無異于拿著一把錘子在飛機上敲打。這顯然是犯罪行為，而不是一次偶然的練習。”

原文地址：http://www.aqniu.com/news/8060.html