Jak pisze Evan Schuman, dziennikarz amerykańskiego Computerworlda, sytuacja jest dość typowa: oto niezależny ekspert ds. bezpieczeństwa informuje producenta samolotu o poważnej luce w jego systemie informatycznym. Producent lekceważy te doniesienia i umniejsza miarę odkrycia, twierdząc, że luka istnieje tylko teoretycznie i że wykorzystanie jej do prawdziwego ataku jest niemożliwe. Ekspert się irytuje, demonstruje, że zagrożenie wcale nie jest teoretyczne (w tym przypadku: włamując się do systemu samolotu), czym ściąga na siebie lawinę kłopotów prawnych…

Wszystko zaczęło się w ubiegłym miesiącu, gdy pewien ekspert od bezpieczeństwa opublikował z pokładu samolotu linii United tweet, w którym poinformował, że zabezpieczenia informatyczne maszyny są tak słabe, że był w stanie włamać się do systemu i sprawić, że z sufitów spadły maski tlenowe. Producent samolotu – Airbus – wydał wtedy oświadczenie, w którym przyznał, że taka sytuacja miała miejsce, ale że nie stanowiła ona żadnego realnego zagrożenia i że kluczowe dla bezpieczeństwa maszyny systemu są odpowiednio skutecznie chronione. Sprawę skomentowali również przedstawiciele Boeinga (zdaniem eksperta, problem dotyczy także tego producenta samolotów), którzy wyjaśnili, że firma prowadzi stały audyt stanu zabezpieczeń i że wszystkie zagrożenia są na bieżąco wykrywane i eliminowane.

Brzmi rozsądnie i wiarygodnie, nieprawdaż? Problem w tym, że producenci mijają się z prawdą, bo z ustaleń FBI badającego sprawę od kilku tygodni, wynika, że ów specjalista już wcześniej był w stanie zrobić w systemie znacznie więcej niż opuszczenie masek. Zdaniem agentów, chodzi o przejęcie kontroli nad samolotem i zmodyfikowanie toru lotu.

Specjalista, o którym mowa to Chris Roberts z firmy One World Labs. Roberts wykorzystał stosunkowo prostą metodę ataku – kluczowe było znalezienie się na pokładzie samolotu, w którym dostępny był dla pasażerów pokładowy system multimedialny (in-flight entertainment system - IFE). Wiedział co robi, bo testował podatność IFE na ataki już wcześniej, wedle ustaleń FBI w latach 2011-2014 skutecznie atakował IFE co najmniej 15-20 razy. Nie było do tego potrzebne żadne skomplikowane oprzyrządowanie, wystarczyło zdjąć osłonę z umieszczonej pod siedzeniem centralki SEB (Seat Electronic Box), a następnie podpiąć do niej swój komputer za pośrednictwem odpowiednio zmodyfikowanego kabla Cat6 Ethernet.

To wystarczyło do uzyskania dostępu do pokładowego systemu informatycznego. Później Roberts zdołał skutecznie ominąć zabezpieczenia jednego z modułów odpowiedzialnych za kontrolę parametrów lotu (Thrust Management Computer), a następnie wydać maszynie komendę CLB (climb – wznoszenie). Przy czym słowo „ominąć” nie jest właściwie w tym miejscu, bo pracownik One World po prostu użył domyślnego loginu i hasła…

Nagłośnienie tej sprawy sprawiło, że zainteresowało się nią FBI. Agenci przesłuchali Robertsa, zarekwirowali sprzęt i oprogramowanie, a obecnie prowadzą dochodzenie w tej sprawie. Sam ekspert wypowiada się na temat swoje aktualnej sytuacji raczej lakonicznie (zgodnie z zaleceniem prawników), wygląda jednak na to, że popadł w poważne tarapaty prawne.

“Być może nieco ryzykuję mówiąc to, ale moim zdaniem to nie Roberts jest winny” – pisze o sprawie i dochodzeniu FBI Evan Schuman z amerykańskiego Computerworlda. „Powiedział przecież o sprawie liniom lotniczym, a one świadomie zdecydowały się zignorować tę informację lub udawać, że nic się nie stało. Jedynym sposobem udowodnienia, że zagrożenie jest realne i że luka może zostać wykorzystana np. przez terrorystów – było pokazanie, jak bardzo poważny jest ów błąd. Dlaczego firmy wciąż nie poczuwają się do odpowiedzialności za takie niedociągnięcia?” dodaje Schuman.

Dziennikarz przypomniał, że już kilka lat temu pewien specjalista ds. bezpieczeństwa zaprezentował mechanizm, który w dużych firmach wykorzystywany jest co podejmowania decyzji co do tego, które luki i błędy wymagają natychmiastowej uwagi, a które będą ignorowane. Opierał się on na przygotowaniu odpowiedzi na serię pytań, wśród których były m.in.: Jakie straty finansowe może spowodować dany błąd? Ile godzin zajmie rozwiązanie problemu? Jakie zyski mógłby wygenerować projekt, od którego trzeba odciągnąć ludzi by mogli załatać błąd? Którzy przedstawiciele zarządu muszą zostać zaangażowani w projekt?

Problem w tym, że przygotowanie odpowiedzi na takie pytania wyjaśnia tylko jedną rzecz: "czy daną dziurę OPŁACA się załatać?". A przecież kryterium finansowe nie powinno być w takiej sytuacji kluczowe. I nie mówimy tu już nawet o tak górnolotnych pobudkach, jak publiczne bezpieczeństwo czy etyka – mamy na myśli prasę i szerzej, opinię o danej firmie. Nagłośnienie informacji o tym, że dana organizacja zignorowała mniej lub bardziej poważną lukę w zabezpieczeniach może mieć potężny oddźwięk i konsekwencje – w tym konkretnym przypadku może to być np. sprawienie, że podróżni zaczną unikać konkretnego samolotu czy linii lotniczych. Technicznie jest to bardzo proste do zrobienia – wystarczy użyć w wyszukiwarce lotów odpowiedniego filtra, w którym zaznacza się z jakich linii/maszyn nie chce się korzystać.

Tak czy inaczej, producenci samolotów mają sporo do wyjaśnienia – i chodzi tu nie tylko o wyjaśnienie jak to możliwe, że atak było możliwy (bo luki znajdowano od zawsze, żadnego systemu nie da się zabezpieczyć w 100%), co o wytłumaczenie, dlaczego zlekceważyli apele Chris Roberts. Te wyjaśnienia mogą być bardzo interesujące...