האם "האקרים" יכולים להשתלט על מערכות מטוס?
כבר בשנת 2015 הדגינו "האקרים" לתקשורת השתלטות על ג'יפ של חברת "קרייזלר" ותפעלו מערכות שונות שלו מרחוק – כולל את ההגה. האם ניתן לעשות כך במטוס?האם ניתן לחדור אליו במהלך טיסה, להתערב במערכות האוויוניקה המשוכללות שלו, להשתלט על ההגאים? זה חלומו של כל טרוריסט או של סוציופת פיקח.
לדברי מומחים, מטוסים מתוכננים ובנויים אחרת ממכוניות מודרניות. במכונית המערכות הן משולבות (מה שקרוי "ארכיטקטורה פתוחה") ומבוססות על מערכות הפעלה מוכרות, כמו Lynux. במטוסים לא משתמשים במערכות כאלה, כי הן אינן עומדות בסף רמת ה-Design Assurance, הנדרשת. רמת ה- Design Assurance נגזרת מה-“Safety Assessment” שהיא חלק מהליך הרישוי של המטוס, במהלכו נבדקים הסיכונים שייתכנו ורמת הסיכון שלהם. בתהליך זה מחליטים מהן התוכנות שניתן להשתמש בהן, את השילוב ביניהן ואת הפלטפורמות עליהן הן מותקנות. המומחים טוענים כי תהליך זה הוא מעבר להשג ידו של ה"האקר" הממוצע.
אך כאן נכנס לתמונה כריס רוברטס (Chris Roberts), שהוא "האקר" בעצמו וחוקר בטחון סייבר. הוא מזהיר כבר שנים על כך שמטוסי נוסעים פגיעים לסייבר, אך בעבר לא התייחסו אליו ברצינות. כדי להדגים את כוונתו, ישב רוברטס, כבר בשנת 2015 במטוס 737-800 בטיסה של חברת "יונייטד" בטיסה משיקאגו לסיראקוז ונכנס ל- Twitter. הוא שלח Tweet מכסאו בקבינה של המטוס ובו שאל אם כדאי לו לחדור אל מערכת הבידור של המטוס, דרך החיבור האלקטרוני שמתחת לכסא ודרכו אל מערכות תא-הטייסים. שאלתו הייתה: "האם להתחיל לשחק עם מערכת ה- EICAS. אולי נפעיל PASS OXYGEN ON? :)…"
בנחיתתו חיכו לרוברטס שני סוכניFBI (לאחר שאנשי בטחון הסייבר של "יונייטד" זיהו את ה-Tweet). הם עצרו אותו והחרימו שני מחשבים ניידים ו"דיסק און קי" שהיו ברשותו – שהכילו תכנה זדונית (Malware) ותרשימי חיוט (Wiring) של מטוסים. הם גם גילו סימני פריצה לקופסה האלקטרונית שמתחת למושבו של רוברטס.
מסתבר שכבר לפני כן הוא ביצע מחקרים על חדירה למערכות האוויוניקה של מטוס. חלקם בתנאי מעבדה וחלקם – לפי הודאתו – גם באוויר "רק כדי להציץ, ללא התערבות". לדבריו. בכל זאת, במקרה אחד הוא פרץ לקופסת הבידור שמתחת לכסא, חיבר כבל למחשב שבידיו, חדר למערכות המטוס ושינה את הקוד ב-TMC (thrust management computer) ופתח כוח על אחד משני המנועים – כך שהמטוס נכנס להחלקה כתוצאה מסחב אסימטרי.
חברת בואינג ויצרנים אחרים טענו כי הדבר בלתי אפשרי ושהוא מגזים בתיאורו. הם מפקפקים אפילו ביכולתו לפרק קופסה מתחת למושב, להתעסק בה ולחבר חוטים למחשב נייד מבלי למשוך תשומת לב של הנוסעים או של צוות הדיילים.
מצורפים שני שרטוטים: הראשון מראה את שלושת "חללי המידע" במטוס: הסגור, הפרטי והציבורי. השני מציג את דרכי התקשורת בין שלושת החללים בינם לבין עצמם ואת הקשר עם העולם החיצוני.
Networked Aircraft Information Systems and Domain Source: Arinc Report 811
Aircraft Network Domains and Interconnections Among Domains Source: Arinc Report 811
מלבד רצונו של רוברטס (ושל "האקרים" אחרים) למשוך תשומת לב לעצמו, פעילותו הראתה שניתן לפגוע במערכות סייבר תעופתיות, כולל תשתיות קרקעיות. רוברטס וכמה מחבריו מפעילים עתה, תחת השם Owl Cybersecurity מערכת הקרויה "פלטפורמת מידע לאיומי הרשת האפלה (Dark Net)".
בכנס בנושא הסכנות האורבות לתעופה מפעילות "האקרים", שנערך ב-2017 סופר לנוכחים כי קבוצת מומחים מטעם ה- Department of Homeland Security (DHS), חדרה מרחוק אל מטוס 757 שחנה על הקרקע באטלנטיק סיטי. החדירה היתה "מרחוק וללא שיתוף פעולה – ולא בתנאי מעבדה" והצליחה "להפגין נוכחות" במטוס. למרות שעצם הניסוי פורסם באינטרנט, תוצאותיו נשמרות בסוד, אך נמסר כי החדירה בוצעה דרך תחום גלי הרדיו המקובלים במטוסים (כלומר VHF) ודרך מערכת הבידור של המטוס.
לאחרונה נמסר מטעם ה-DHS כי הוקמה וועדה בין משרדית (הכוללת את ה-FAA, את חיל האוויר, ה-TSA ה-FBI, ואת המודיעין) לבדיקת האפשרויות של חדירות סייבר למטוסי חברות תעופה מסחריות. מטרת הוועדה = Aircraft Cyber Initiative (ACI) היא לבדוק אם תקיפת סייבר נגד מטוס אפשרית ולהציע דרכים והמלצות לזיהוי הנקודות הפגיעות. הוועדה מתמקדת במטוסים ישנים יותר, שבהם הגנה נגד תקיפות סייבר לא הוכנסה לתכנונם.
גם ה-GAO (משרד התקציב הממשלתי) הצטרף והכיר באיום על תשתיות תעופתיות כבעל משמעות (לאחר תקיפת הסייבר על המחשבים במערכת הקרקעית של חברת התעופה הפולנית LOT בוורשה). בארה"ב נמצא כי התשתיות של ה-FAA נחדרו ב-75 שדות-תעופה ב"תהליך ארוך של ריגול" וה-FAA פנה לעזרה לחברה המתמחה בנושא. גם טיפול זה נשמר בסוד.
חלק מהמומחים טוען שיש הבדל בין פגיעה בתשתיות קרקעיות ובין חדירה למטוס באוויר. המטוס אינו מחובר לקרקע בדרכים המאפשרות ל"האקר" להגיע אליו. אמנם מערכת הבידור מחוברת למקורות קרקעיים, אך היא אינה קשורה למערכות המפעילות ושולטות במטוס. ככל שהמערכות נעשות יותר מחוברות (Integrated) ישנם בתעשיית התעופה כללים המונעים חדירות.
מערכות בעלות חשיבות לבטיחות הטיסה מתוכננות על פי הפרוטוקול הקרוי ARINC 429, הדורשות "שידור לצד אחד": מהמערכת הקריטית והראשית לכיוון המערכת המשנית – ולא להיפך. לדוגמה, "המפה הנעה" המקבלת הנחיות מה-GPS, אך לא יכולה לשלוח מידע בחזרה. רוב פסי-הצבירה במטוסים מתוכננים בצורה זו – גם במטוסים מדורות קודמים. עם ההתקדמות ממעגלים סגורים לרשתות רבות-ערוצים נוצרו "תחומי ניהול תקשורת" בהתאם לקריטיות של מערכותיהם. המערכות הקריטיות ביותר הן של השליטה במטוס והמתרחש בקוקפיט והן שייכות ל- ACDs (aircraft control domains). אחריהן באות מערכות ה-AISD, השייכות למערכות השליטה בקבינה ובנוסעים. אחריהן מערכות ה- PIESDהעוסקות במידע על הנוסעים ובמערכות הבידור. האחרונות הן ה- PODS, שהן המערכות שבידי הנוסעים (טלפונים ניידים, מחשבים נישאים וכיו"ב). כיוון הזרימה של המידע הוא תמיד מהגבוה לנמוך. חוקים אלה יישמרו גם בעתיד, עם תכנון ובנייה של מערכות מורכבות יותר.
ומה אם בכל זאת ימצא "האקר" דרך לחדור ולהזרים למערכת מידע רע? לשם כך בונים במטוסים מערכות כפולות ומשולשות. אם אחת כושלת, האחרת ממלאת את מקומה. ה"יתירות" (Redundancy) אמורה לענות על הבעייה, כמו שני טייסים אוטומטיים המחוברים ומחוייטים בנפרד, מקבלים אספקת כוח ממקורות שונים ומפעילים מערכות הידראוליות שונות.
התכנונים העכשויים לוקחים בחשבון את הפוטנציאל לתקיפות סייבר עתידיות, כבר מהשלבים הראשוניים של התכנון, כך שהגדרת האיומים הפוטנציאלים היא חלק מהחשיבה של המערכת, כולל כל הניסויים הדרושים כדי לוודא את עמידותה. במסגרת הניסויים מנסים להזין את המערכת בנתונים בלתי סבירים ומטעים כדי לבדוק איך היא מגיבה. מדובר בהזרמה של מיליונים (!) של נתונים שגויים שהמערכת צריכה להתמודד אתם ולהמשיך לפעול כשורה.
עוד שיקול הוא הוידוא של שלמות מערכת האספקה של המוצר (confirming the integrity of the product supply chain). גם ברמת הניהול וגם ברמת התכנון והייצור של כל צ'יפ המגיע מהספקים.
אם כל ההגנות האלה מתאימות לדורות הבאים, מה בדבר ציי המטוסים האזרחיים הוותיקים יותר, המהווים עדיין 90% מהתנועה האווירית? המומחים טוענים שגם במטוסים בני 10-15 שנים מערכות "חומת האש" (Firewall) וחסימת חדירות הנמצאות שם שנים רבות עושות את המלאכה. ממשיכים לשפר אותן כל הזמן, עם התפתחות האיומים. המערכות הוותיקות מנבנו לכתחילה לעמידות נגד תקלות מכניות או למידע שגוי "מסורתי". בשבילן תקיפת סייבר תהיה עוד תקלה מוכרת.
התקשורת בדור המטוסים החדש, כמו ה-A380, ה-A350, ה-777 וה-787 מחברת מערכות פנימיות רבות מה – AISD, PIESD וה- PODS עם מערכות חיצוניות דרך רשתות קרעיות, דרך טלפונים סלולאריים ודרך לוויינים. ניתן להבין מהיכן יבואו האיומים והמידע הדיגיטלי הבלתי מאובטח. עד היום לא מוכרת דרך בלתי אמינה לחדור אל ה-FMC של אחד ממטוסי הדור הזה, אך כאמור- מדובר כרגע רק בכ-10% מצי המטוסים העולמי. צריך עוד לראות איך יתמודדו מטוסי דור ה-757, שהטכנולוגיה הדיגיטלית בהם היא כמעט בת 40 שנה, עם אתגרי לוחמת הסייבר של "האקרים" ומה יכולה התעשייה להציע כדי להגן עליהם.
המאמר המלא, שנכתב על ידי David Esler, פורסם בגירסה האלקטרונית של Aviation Week, במדור Business & Commercial Aviation בתאריך 12 ביוני 2018.
עיבוד ותרגום – אילן הייט