Gibt es Unfallberichte, die gehackte/kompromittierte Avionik als Faktor erwähnen?

Kennt jemand dokumentierte Beispiele für Flugunfälle, die durch gehackte oder anderweitig absichtlich manipulierte Avionik verursacht wurden?

Es kann aufschlussreicher sein, auch zu fragen: "Welche vorbeugenden Maßnahmen sind vorhanden, um gehackte oder kompromittierte Avionik zu entschärfen", da viele der Antworten beinhalten: "Es gibt keine offensichtlichen Vorfälle, und ich würde keine erwarten, weil XYZ."

Antworten (2)

Die Suche in der NTSB-Unfalldatenbank , die auch einige internationale kommerzielle Flüge abdeckt, nach den Schlüsselwörtern "hack", "gehackt" liefert keine Ergebnisse in Bezug auf gehackte Avionik. Auch die Verwendung des Schlüsselwortes „tampered“ liefert keine Ergebnisse im Zusammenhang mit vorsätzlichen Manipulationen an der Avionik (meist „manipuliertes“ Wrack).

Es gibt eine Person, Chris Roberts , der behauptet, sich in das In-Flight Entertainment System (IFE) gehackt zu haben, um das Flugzeug von seinem Kurs abzubringen, aber ich finde es höchst verdächtig. Aus Sicherheitssicht kann ich keinen guten Grund dafür nennen, das IFE-Netzwerk im selben Netzwerk wie die Avionik zu haben , aber das heißt nicht, dass es keine mögliche Verbindung gibt. Das FBI fand das sicherlich nicht sehr lustig .

Bis heute gab es also keinen Flugunfall, der auf gehackte oder vorsätzlich manipulierte Avionik als Unfallursache zurückgeführt wird. Das nächste, was Sie meiner Meinung nach finden werden, sind Piloten, die falsche Flugpläne laden, veraltete (oder sogar veraltete) Navigationsdaten und andere Fälle, in denen Piloten die Ausrüstung nicht richtig verwenden.

Ich habe Ihre ursprüngliche Frage gelesen und möchte sie klären. Verschwörungstheorien, Vermutungen und Internetspekulationen sind kein Ersatz für harte Beweise. Im Fall von MH-17 wurde das Wrack geborgen und es wurden keine Beweise für Hacking vorgelegt, während es viele Beweise für den Abschuss gibt. Verkehrsflugzeuge können selbst in Reiseflughöhe ziemlich leicht von Boden-Luft-Raketen abgeschossen werden.

Was MH-370 betrifft, werden wir es vielleicht nie erfahren, bis das Wrack gefunden ist (und selbst wenn es so ist, werden wir es vielleicht nie erfahren). Flugschreiber haben keine unbegrenzte Lebensdauer, besonders wenn sie unter Wasser stehen. Bis dahin sind Theorien, dass dieser Flug gehackt wurde, genauso glaubwürdig wie die, dass Außerirdische den gesamten Flug entführt haben und in speziell konstruierten Iglus auf Neptun leben.

"Ich kann mir keinen guten Grund vorstellen, das IFE-Netzwerk im selben Netzwerk wie die Avionik zu haben." Leider gibt es schlechte Gründe dafür, das IFE-Netzwerk im selben Netzwerk wie die Avionik zu haben (nicht, dass ich wüsste, dass das schon gemacht wurde, ich sage nur. Zum Beispiel kann ich mir keinen guten Grund vorstellen, warum das Unterhaltungssystem eines Autos so ist im selben Netzwerk wie die Motorsteuerung/das Bremssystem, aber wir wissen, dass das erledigt ist.)
Das IFE muss zumindest die Flugdaten lesen, da es sie anzeigt. Es liegt also an der Brücke, sie auf die andere Weise zu isolieren, und es kann ein Fehler darin sein. @davidbak, im Auto ist das „Unterhaltungssystem“ auch ein Konfigurationssystem für viele Dinge, weshalb es eine Verbindung zum Hauptbus benötigt und in diesem Fall bidirektional sein muss. Im IFE-Fall kann der Datenfluss zumindest auf eine Richtung beschränkt werden.
Ich denke, die Reaktion des FBI war dumm. Sie hätten das fragliche Flugzeug für ein paar Stunden besorgen und ihn bitten sollen, es während des Bodenflugs vorzuführen. Wenn es erfolgreich war, dann hat er nur berechtigte Bedenken geäußert, also sollte gedankt werden und die FAA sollte die Behebung durchsetzen. Nur wenn er scheiterte, wäre es richtig, ihn anzuklagen – mit sich ausbreitender Panik.
@JanHudec - Im Autofall muss sich das Ent / Nav-System nicht im Bus befinden, wo es auf jedem Gerät lesen / schreiben kann. Es könnte eine Punkt-zu-Punkt-Verbindung zu einem spezialisierten Steuergerät geben, das das Ent/Nav-System von den Fahrzeugsteuersystemen isoliert (filtert). Und das gleiche gilt auch für das IFE-System: Es könnte einen Nur-Ausgabe-Stream (getrennt von jedem Bus/Netzwerk und nur Ausgabe, basierend auf der Elektronik, aus der es aufgebaut ist) vom Flugnetzwerk zum IFE-Netzwerk geben (für alle I wissen, so wird es gemacht).
@davidbak, nun, das eine Auto-Ent/Navigationssystem, mit dem ich ein wenig Erfahrung habe, bestand aus zwei Einheiten, von denen eine die Benutzeroberfläche und das Navi ausführte und die andere das Back-End (das dort Radio enthielt). IIRC nur das Backend war mit CAN verbunden, die beiden Boards hatten Ethernet zwischen sich. Es war also ungefähr so, wie Sie sagen. Dennoch ist CAN ein bidirektionaler Bus. Wenn also die Back-End-Karte kompromittiert ist, kann auf Controller zugegriffen werden. ARINC 429 ist jedoch unidirektional (one-to-many), was das Brechen erschweren sollte.
Das Problem besteht nicht darin, Dinge miteinander zu verbinden oder nicht (sie sind es), sondern wie die Sicherheit mithilfe von Anmeldeinformationen erzwungen wird. In der neuen Ära der Virtualisierung sind virtuelle LANs physisch verbunden, aber logisch segmentiert . Wussten Sie, dass Ihre Intel-CPU auf ein Netzwerk zugreifen und Daten austauschen kann, wenn der Laptop ausgeschaltet ist?
@mins Stimmt, aber bedenke die Auswirkungen des Anschlusses von kabinenzugänglichen Geräten an die Avionik gegenüber dem Hinzufügen eines GPS für die folgende Flugbahn. Ich kann mir immer noch keinen guten Grund dafür vorstellen, dass sie physisch verbunden sind, selbst wenn sie getrennt sind.
@JanHudec Ich denke nicht so über die Reaktion des FBI. Wenn er sich nicht reproduzieren kann, ist es eine Bedrohung (versuchen Sie, einmal durch den Flughafen zu rennen und "Bombe" zu schreien, auch wenn Sie keine haben). Wenn er kann, gefährdet er die Sicherheit anderer (was ist, wenn er die Piloten irgendwie aussperrt und sie abstürzen?). Nur weil Sie etwas tun können, aber niemals beabsichtigt haben, Schaden anzurichten, heißt das nicht, dass es nicht illegal ist. Wenn er dies demonstrieren wollte, hätte er das FBI darauf aufmerksam machen sollen , bevor er versuchte, es auf einem aktiven Flug zu tun, oder 15, wie er sagte .
Wie @JanHudec erwähnte, machen sich die Hersteller bei der Verwendung von industriellen seriellen Bussen (CAN, SDI, ...) keine Sorgen darüber, alles an dasselbe Kabel anzuschließen, und oft müssen sich moderne Sicherheitskonzepte innerhalb der Ingenieurabteilung erst noch verbreiten. Ich glaube, die Avionikhersteller sind besorgter, aber ich bin mir nicht sicher, wie viel mehr. Die FA-Ruftaste ist mit dem FA-System verbunden, mit dem Audiopanel verbunden, mit dem VOR verbunden, mit dem GPS verbunden, mit dem ACARS verbunden usw.
"Mir fallen keine guten Gründe ein, es an das Personennetz anzuschließen" ist nicht dasselbe wie "Es gibt keine guten Gründe", was wiederum nicht dasselbe ist wie "Es ist nicht an das Personennetz angeschlossen". Ich glaube, du schreibst hier aus einer Position der Unwissenheit heraus. Zum Beispiel gibt es trotz des Kommentars von @davidbak gute Gründe, warum das Unterhaltungssystem in Autos mit dem Motorsteuersystem verbunden ist: Wenn Sie schneller fahren, erhöht sich die Lautstärke Ihres Autoradios automatisch . Sie halten das vielleicht nicht für ein gutes Urteilsvermögen, aber diese Verbindung besteht in Autos.
In ähnlicher Weise ist mein Verständnis für Flugzeuge, dass in einigen modernen Flugzeugen die beiden Netzwerke miteinander verbunden sind. Die Verbindungen sollen Firewalls und logische Segmentierung haben, die hoffentlich ausreichend sind, um Risiken zu verhindern, aber es ist schwer zu sagen, dass dies der Fall ist, allein basierend auf öffentlichen Informationen – es scheint einfach nicht genug öffentlich verfügbare Informationen zu geben sicher sagen. Ich bin kein Experte auf diesem Gebiet und kann keine verbindlichen Aussagen darüber machen ... aber es scheint, dass Sie es auch nicht sind. Ich würde vorschlagen, diesen Teil des Kommentars in Ihrer Antwort zu entfernen.
@DW Wenn dies (Erhöhung der Audiolautstärke) ein Grund wäre, das Unterhaltungssystem in denselben Bus wie die Motorsteuerung zu bringen, würde ich das als schlechten Grund bezeichnen. (Ich hatte keine Einwände gegen Verbindungen , sondern nur im selben Netzwerk (oder Bus ). Sie könnten ein sichereres Design erreichen, indem Sie die Motorsteuerung über einen reinen Übertragungsmechanismus die gewünschte Telemetrie senden lassen.)
@davidbak, das ist in Ordnung. Wie ich bereits geschrieben habe, halten Sie es vielleicht nicht für ein gutes Urteilsvermögen ... aber wie gesagt, sie sind miteinander verbunden. Die Tatsache, dass Sie denken, dass es keinen guten Grund gibt, sie zu verbinden, bedeutet nicht , dass sie tatsächlich getrennt sind.
@DW Ich sagte, ich kann mir keinen guten Grund dafür vorstellen, nicht, dass es nicht verbunden ist. Ich wollte nicht andeuten, dass die Systeme nicht verbunden sind, nur dass es keine gute Idee ist, ein System zu haben, insbesondere mit zugänglichen Anschlüssen in der Passagierkabine, die mit kritischen Flugsteuerungen verbunden sind.
Ich weiss. Was ich gesagt habe ist, ich vermute, dass Sie aus einer Position der Unwissenheit heraus schreiben. (Ich hoffe, Sie nehmen das nicht persönlich.) Ich denke, die Tatsache, dass Ihnen kein guter Grund einfällt, ist hier nicht wirklich relevant für die Frage, die tatsächlich zählt: Welches ist, sind sie tatsächlich miteinander verbunden? Eine Aussage, dass Ihnen kein triftiger Grund für ihre Verbindung einfällt, riskiert unvermeidlich den Eindruck, dass Sie den Lesern den Eindruck vermitteln wollen, dass sie wahrscheinlich nicht verbunden sind. Ich denke, Ihre Antwort würde verbessert, wenn Sie diese Aussage entfernen. Wie auch immer, ich habe meinen Fall gemacht; ab hier liegt es an dir.
@DW Ein Teil meiner Arbeit besteht darin, die Sicherheit von Steuerungssystemen zu gewährleisten, Systemen, die bei einer Kompromittierung schwerwiegende Folgen haben würden. Ich habe Artikel über industrielle Sicherheit und den Schutz von Kontrollsystemen vor Eindringlingen und internen Angriffen geschrieben, also schreibe ich nicht gerade aus einer Position der Unwissenheit heraus. Seit mehr als 15 Jahren verdiene ich meinen Lebensunterhalt mit der Entwicklung vernetzter Steuerungssysteme.
Nicht Unwissenheit über Computersicherheit im Allgemeinen oder in industriellen Systemen im Besonderen ... sondern eher Unwissenheit über die sehr spezielle Frage, ob die Avioniknetzwerke in einem derzeit im Einsatz befindlichen Passagierflugzeug mit Passagierunterhaltungsnetzwerken verbunden sind oder nicht. Siehe auch meine Kommentare zur anderen Antwort für einige Links, die darauf hinweisen könnten, warum ich diesen Punkt anspreche. (Ich werde auch sagen, dass ich Ihre Antwort positiv bewertet habe und sie hilfreich finde. Ich schlage nur einen kleinen Punkt vor, an dem sie meiner Meinung nach verbessert werden könnte.)
Ein Beispiel, was in der Industrie üblich ist: „ In einem Flugzeugnetzwerk werden viele Systeme im Netzwerk verbunden sein. Sie werden ihre Zeit mit GPS synchronisieren. Es wird kostspielig sein, GPS-Empfänger in jedem System im Netzwerk zu implementieren , in einem Flugzeug erhält hauptsächlich das zentrale System seine Zeit vom GPS. Andere mit dem zentralen System verbundene Systeme müssen ihre Zeit mit dem zentralen System synchronisieren. " ( Quelle ). Erster "guter" Grund: Kosten ! Ich sage nicht, dass dies getan wird, wollte nur die Denkweise veranschaulichen.

Nein. So weit ich weiß, sind aktuelle Navigations- und Flugsteuerungs-Avionikgeräte von mit dem Internet verbundenen Komponenten getrennt, sodass es physikalisch unmöglich ist, sie zu „hacken“.

Jetzt werden mehr Arten von Cockpit-Avionik Bluetooth-kompatibel, was die Konnektivität mit mit dem Internet verbundenen mobilen Geräten oder Apps ermöglicht, z. B. Garmin Pilot, ForeFlight usw., sodass eine Person beispielsweise einen Flugplan in einen GNSS-Kopf herunterladen kann. Vielleicht analysiert irgendwann irgendein Hacker eine Sicherheitslücke in dieser Avionik und kann diese ausnutzen.

Darüber hinaus nehmen diese Systeme häufig Software-Updates in Form von SD-Karten, USB-Sticks usw. auf, sodass auch auf diese Weise die Möglichkeit besteht, Malware in das System einzuschleusen.

Aber selbst wenn ein GPS-Kopf auf diese Weise angegriffen würde, hätte er keine Möglichkeit, sich Zugang zu den Steuersystemen der Klimaanlage zu verschaffen, das System könnte manuell heruntergefahren und Backup-Navigationsmittel verwendet werden.

Aber in der Ära von Stuxnet und aufkeimenden Entwicklungen von Cyber-Waffen, die parallel zur Entwicklung des Internets der Dinge verlaufen, kann in Zukunft alles möglich sein; nur jetzt nicht.

„Soweit ich weiß, sind aktuelle Navigations- und Flugsteuerungs-Avionikgeräte von mit dem Internet verbundenen Komponenten getrennt, sodass es physikalisch unmöglich ist, sie zu ‚hacken‘.“ Hacking erfordert kein Internet, nur physischen Zugang. Außerdem ist Stuxnet spezifisch für SPS-Steuerungssysteme von Siemens (ich bin Steuerungsingenieur), die wirklich keine Parallele in der Avionik haben ...
"Soweit ich weiß, sind aktuelle Navigations- und Flugsteuerungs-Avionik getrennt von mit dem Internet verbundenen Komponenten" - Dies scheint nicht korrekt zu sein. Siehe z. B. wired.com/2015/04/hackers-commandeer-new-planes-passenger-wi-fi , wo es heißt, dass sich in einigen modernen Jets die Flugsteuerungs-Avionik im selben Netzwerk befindet wie Passagierunterhaltungssysteme. Es gibt angeblich Firewalls, und wenn diese Firewalls frei von Fehlern sind, könnte dies ausreichen, um die Risiken zu verhindern ... aber das ist etwas anderes als zu sagen, dass es sich um separate Netzwerke handelt oder dass Hacking "physisch unmöglich" ist.
Siehe auch schneier.com/blog/archives/2008/01/hacking_the_boe.html und dailytech.com/… . Meine Vermutung/Spekulation ist, dass viele der Presseartikel das Risiko wahrscheinlich massiv übertreiben ... aber gleichzeitig kann das Risiko nicht vollständig ausgeschlossen werden, und dass Aussagen, dass Hacken "physisch unmöglich" ist, unverantwortlich sind und mit den öffentlich zugänglichen Beweisen nicht gerechtfertigt werden kann.
Der Wired-Artikel und der Schneider-Blog sind gleichbedeutend mit Karnevalsgebell. Nachdem ich an dieser Art von Flugzeugen, Cockpitsystemen, Flugsteuerungen und IFEs gearbeitet habe, kann ich Ihnen sagen, dass es keine feste Verbindung zwischen kritischer Avionik wie Flugsteuerungscomputern, Luftdatencomputern, Funkgeräten, Navigationsköpfen, AFCS, automatischen Drosseln, usw. und satellitenbasierte WiFi-Netzwerke. Nein, bis heute ist es praktisch unmöglich für eine Person, die aus der Ferne arbeitet, ein Flugzeug zu befehligen, indem sie sich in ein IFE-Netzwerk hackt.
Gibt es Unfallberichte, die gehackte/kompromittierte Avionik als Faktor erwähnen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v