失控：一张3.5寸软盘暴露民航业网络安全危机

近日在DEF CON28黑客大会的一次视频采访中，Pen Test Partners的研究人员透露波音747-400飞机居然仍在使用3.5英寸软盘来更新重要的导航数据库（更新周期为28天）。事实上，很多飞机都在使用古董级的3.5英寸软盘，例如波音737飞机多年来也使用软盘加载航空电子设备软件。根据《今日航空》2015年的一份报告，这些软盘上的数据库越来越大。

波音747的软盘驱动器
作为全球化、信息化和现代化的标志性行业，航空业的大型商用飞行器依然使用3.5英寸软盘更新关键数据这件事不但让安全人士无语，甚至广大民众也为之肝颤。要知道连“食古不化”的美国国防部都已经在去年退役了存储发射核弹指令的软盘，即便这些软盘从未在“生产环境”中使用过。

近年来，随着航空业数字化的深入，航空软件和网络安全已不仅是安全极客的炫技场，甚至也不仅是一个行业的“技术债”问题，而是关系到每个人生命安全的“生死簿”。

我们先简要回顾下近来拉响航空业安全警报的事件：

•  2019年7月，DHS / CISA发布了关于CAN总线网络实施不安全的警告，该协议允许飞机，汽车和其他机器内的各种设备相互通信。该漏洞可能允许不良行为者向飞机注入虚假数据。据CISA称，通过物理上接入CAN总线系统，对手可以改变许多飞机的测量数据，包括发动机遥测读数，指南针和姿态数据，高度和空速。
•  2019年波音公司刚刚复产的737 Max飞机因软件故障导致两次致命的坠毁，共造成346名乘客和机组人员死亡。一年后的今天，在因两起空难而在全球范围内停飞一年多后，737 MAX重新认证的进程仍悬而未决。据路透社报道，2020年8月11日公布的月度数据显示，波音公司的客户今年取消了超400架737 MAX飞机订单，而该公司的飞机总交付量在7月份下降到只有4架。
•  2020年7月，航空业的供应商之一，Garmin公司因勒索软件导致消费类产品和商用航空产品——Garmin Pilot、Connext和FlyGarmin业务瘫痪，其中Garmin Pilot应用负责向飞行员提供飞行计划存档、账户同步和数据库功能，而Connext则提供驾驶舱服务与天气、未知报告以及飞机上的中央维护计算机（CMC）的数据。
•  2019年，一位网络安全教授在英国航空公司的航班IFE机载娱乐系统中发现了缓冲溢出漏洞（CVE-2019-9109）。该教授用USB鼠标将长字符串文本输入到机上聊天应用程序，导致整个机上娱乐系统崩溃。这种在飞行航班上的渗透测试引起极大争议，同时也证明了航班网络安全问题的真实性和危险性。
•  2020年8月，DEF CON28上网络安全人士透露，由于受疫情影响英国航空公司准备退役一支机队，网络安全人士首次获准进入波音747客机内部进行信息安全检查和测试。PTP也首次向网络安全界公布波音747内部乘客甲板下方的全部航空电子设备舱，以及数据中心式的，模块化的飞行控制模块。此次调查发现波音747仍然在使用3.5英寸软盘更新重要的导航数据库。

事实上，航空网络安全问题的严重性远远超出人们的预期。在安全牛年初的报道《航空业的安全噩梦：走进波音公司的湿暗后厨》一文中，安全研究员克里斯·库贝克 (Chris Kubecka) 在2019年底伦敦举行的航空网络安全会议上，披露了波音公司网络安全的“脏乱差”：

测试开发网络公然裸奔、邮件服务器塞满忙碌的恶意软件、官网门户大开（没有启用 HTTPS）、发现漏洞的白帽子遭到恐吓威胁…任何一位航空公司信息主管百忙中抽空瞥一眼波音公司的安全后厨，一定会恶心得好几天吃不下饭。

航空网络安全态势：失控的数字化攻击面

不仅仅是波音公司及其客机产品，更大的威胁来自网络和新兴技术。民用航空主要依靠网络技术来提高航空运输的安全性和效率。随着航空业数字化的日益发展，系统的互连性和对技术的依赖导致了新风险的出现。航空业所依赖的计算机网络系统包括空中导航系统、机载飞机控制和通信系统、机场地面系统、飞行信息系统、安全检查以及许多其他日常使用的技术，涵盖几乎所有航空领域。

随着机器学习和5G等新兴技术的广泛采用，包括垂直电动起降（eVTOL）和自动驾驶飞机，使得航空网络安全风险管理变得越来越复杂，以至于既难以管理风险，甚至无法深入了解风险。这种态势将意味着攻击者和被攻击者（航空业企业）数量将快速增长。

攻击面的增加会威胁到航空部门的所有组成部分：机场，航空公司，空中交通管制（ATC）中心，供应商甚至乘客。

当下的航空安全状况有多么糟糕？ImmuniWeb 年初曾发布过一个针对全球大型机场的网络安全、合规性和隐私的研究。结果显示：
“全球100个最大的机场中有97个存在与易受攻击的Web和移动应用程序，公共云配置错误，暗网暴露或代码库泄漏有关的安全风险。”
仅有三家机场顺利通过所有安全测试，没有重大网络安全问题：
• 阿姆斯特丹史基浦机场（欧盟）
• 芬兰赫尔辛基-万塔机场（欧盟）
• 爱尔兰都柏林机场（欧盟）
绝大多数机场的官方网站存在以下问题：
主网站安全：
• 97% 的网站包含过时的 Web 软件
• 24% 的网站包含已知和可利用的漏洞
• 76% 和 73% 的网站分别不符合 GDPR 和 PCI DSS
• 24% 的网站没有 SSL 加密或使用过时的 SSLv3
55% 的网站受 WAF 保护
移动应用程序安全性：
• 100% 的移动应用包含至少 5 个外部软件框架
• 100% 的移动应用至少包含 2 个漏洞
• 每个应用平均检测到 15 个安全或隐私问题
• 33.7% 的移动应用传出流量没有加密
暗网曝光、代码存储库和云：
• 66% 的机场暴露在黑暗网络上
• 325 次风险敞口中，有 72 起存在严重或高风险，表明存在严重违规
• 87% 的机场在公共代码存储库中数据泄漏
• 3184 次泄漏中，有 503 次存在严重或高风险，可能导致违规
• 3% 的机场具有未受保护的公共云和敏感数据
此外，对36个机场官方手机APP的测试发现， 100％的机场APP都包含漏洞，每个APP平均检测到15个安全或隐私问题。

糟糕的网络安全现状必然会招致惩罚，近年来全球机场网络安全事件层出不穷，例如布里斯托尔机场遭受勒索软件攻击，黑客窃取了建筑计划和敏感的安全协议，波兰华沙机场遭遇DDoS攻击，上千名旅客滞留；欧洲一些机场甚至在登机口显示器上公开泄露预订系统中的乘客隐私数据（此漏洞被赛门铁克安全人员发现并已修复）。

根据EUROCONTROL于2019年发布的航空业网络安全调查，对许多空中交通管理系统进行的渗透测试结果显示，大多数系统都非常脆弱。EUROCONTROL在调查报告中指出：航空业的高级管理人员，技术人员和系统设计师需要摆脱这样的幻想，即他们的系统可以在网络攻击中幸存下来，因为过去“什么都没有发生”。

EUROCONTROL文件总结说：“现在的挑战在于使航空系统/服务逐渐变得越来越具有网络韧性，同时保持安全性和成本效益。”

提高网络韧性的五大挑战

航空业的一个关键特征是各个部门（机场、空中航行服务、航空公司等）之间的高度相互依赖性，以及与相关系统（维护服务、网络连接服务、燃料分配系统等）的互连性。 、在此价值链中任何一点的安全事件都可能在其他领域造成严重后果。
在2020年年会期间，世界经济论坛（WEF）敦促航空业重视新兴网络安全挑战，正如其在“提高航空业的网络弹性：行业分析”报告中所述：航空业可能会遇到与其他行业一样的网络风险，这些风险是与新的数字化和连通性息息相关的。
国际航空运输协会（IATA）指出： “技术和数字化不仅带来许多优势，而且还带来了在复杂的国际运营中（从机场，飞机运营商，空中交通管理和供应链）发现和管理网络漏洞的挑战所带来的风险。”
这种复杂性使航空业容易受到不断增长的网络风险和威胁影响。根据大西洋理事会的最新报告，对于许多网络威胁行为者来说，航空业是一个有吸引力的目标，其动机多种多样，从经济利益到破坏，伤害以及与人为错误有关的无意动机。
由于其复杂性，对航空部门的网络攻击可能更难以检测和控制，并可能产生级联效应，从而导致经济损失，工业中断，并在某些情况下造成人员伤亡。如果没有足够的网络安全性和应变措施以及能力，此类网络攻击的影响可能会很严重。
大西洋理事会去年底发布的航空网络安全报告指出，航空网络安全风险管理面临以下极大迫切需要解决的五大挑战：
首先，航空网络安全的“内生化”。如何将航空网络安全集成到飞行安全、安全（Safty）和企业IT中，同时所有这些都受到完善的治理和问责框架的约束。
航空供应商和客户的第三方网络安全问题。根据大西洋理事会的说法，许多供应商发现很难将最佳实践融入采购中。在就适当的网络安全风险管理和透明度达成共识方面也存在困难。
信息共享不畅。管理航空网络安全的前提是对风险的清晰明确的了解。信息共享需要航空利益相关者之间达成协议来确定航空网络安全风险，同时第三方威胁信息提供服务也有待发展。
安全培训缺失。尽管多年来航空业通过其设计和培训实践来严格地预测，减轻或客观地调查故障和事故，但是将网络安全纳入航空业的文化仍然是一个挑战。识别或管理航空网络安全事件的培训非常少（针对飞行员，空中交通管制员等）。
无法抵御大规模破坏性攻击。尽管航空运营具有内在的安全韧性，但大规模破坏性攻击将难以管理。对数据完整性的攻击将破坏航空公司的安全运营。
航空业的网络安全策略与标准密集出台
航空网络安全建设应在全球范围内协调开展。但是随着国家，地区和组织机构为改善航空网络安全性而进行的努力不同法规和最佳实践范围导致复杂性增加的风险越来越大。因此，任何新的标准体系都必须在复杂的全球供应和运营链中得到统一。
国际民航组织（ICAO）从能力建设的角度提出一个口号“一个（国家）都不能掉队”。国际民航组织大会第四十届会议于2019年10月首次通过了一项与航空有关的网络安全战略，阐明了以下愿景：
“ 国际民航组织对全球航空网络安全的愿景是，民航部门能够抵御网络攻击，并在全球范围内保持安全和值得信赖，同时继续进行创新和发展。”
国际民航组织的远景点出了民航业面临的主要安全挑战：网络安全能力与飞行安全、业务增长和创新同等重要。
国际民航组织发布的《航空网络安全战略》是建立全球一致性的航空业安全体系的第一步。此外，英国航空网络安全战略以及《欧洲航空网络安全战略协调平台战略》的发布也标志着区域航空市场在加强网络安全建设方面也卖出了重要的第一步。
从航空网络安全标准的角度来看，欧洲航空安全局（EASA）和美国FAA近年来都在积极推进。自2019年底以来，飞机、航空系统、发动机等能够获得适航性认证的唯一方法是遵守最近更新的DO-326和ED-202。这些新法规在管理网络安全风险的方法上要更加详细和全面。
此外，美国国土安全部（DHS）与美国空军（USAF）合作的一项新计划将加强对飞机网络安全性的审查。在《美国国家航空安全战略》发布后，由CISA，国防部和美国运输部共同主持的航空网络安全倡议（ACI）旨在“降低网络安全风险并提高网络韧性，支持对飞机进行脆弱性评估，以更好地了解和减轻风险，从而实现“国家航空生态系统的网络安全，物理安全和高效运行”。

未来之路

随着国际民航组织《网络安全战略》的发布，人们现在对航空网络安全如何在全球范围内发展有了战略性的认识和框架指引。全球的航空业都应该意识到，只有对航空网络安全的认知、理解和管理达成共识和统一，才能为航空网络安全风险管理带来迅速的，全球一致的，有效的变革。这有赖于所有航空利益相关者（包括国家、国际机构、监管机构、制造商和服务提供商）齐心协力，支持新的国际民航组织网络安全战略。该战略的目标包含七个支柱性框架：
1. 国际合作
2. 管治
3. 有效的法律法规
4. 网络安全政策
5. 信息共享
6. 事件管理和应急计划
7. 安全能力建设，培训和网络安全文化

航空对网络安全风险的洞察以及全球管理仍然面临重大挑战。应对这些网络安全挑战所需的文化变革需要强大的领导力和时间。航空业必须采取措施以加速这一改进过程，增加透明度和信任度，并提高网络安全的协作性。
总之，作为一个高度全球化的产业，航空业的网络安全没有单点解决方案，降低全球性系统性风险需要所有利益相关者之间积极合作才能达成。

参考资料：
2020世界经济论坛：提高航空网络韧性，行业分析
https://www.weforum.org/whitepapers/advancing-cyber-resilience-in-aviation-an-industry-analysis/

全球100强机场的网络安全现状：https://www.immuniweb.com/blog/state-of-cybersecurity-top-100-airports.html