Biometri och big data: Hur man skapar flygplatsen i framtiden
Ny teknik kunde vända flygresor till en njutning, inte jobbigt.
I en allt mer tekniskt inriktade världen, luftfartsskydd blir ett kritiskt problem.
Detta är inte nödvändigtvis i förhållande till demonstranter störa flygningar eller drönare som har möjlighet att föra framträdande flygplatser till ett tvärstopp för dagar under semesterperioden.
I stället användningen av nätverksbaserade system och tekniska lösningar för att göra allt från att hantera din bokning till väskor och planen själva har öppnat nya vägar för cyberattackers.
Anslutning ligger i hjärtat av flygindustrin i dag. Jag minns en flygning för fyra år sedan, i vilket oavsiktlig skiva-genom en enda fiberoptisk kabel för service på en flygplats ledde till en omfattande kaos, missade flyg och väskor, köer en mil lång, och användning av papper och penna för att checka in passagerare.
Användningen av anslutna och smarta lösningar har lett till en komplex luftfart miljö och en som kan missbrukas, teoretiskt orsakar allt från marken plan till förstörelsen av schemaläggning.
Vi har redan sett ransomware aktörer svart ut skärmar på Bristol international Airport. Heathrow Flygplats böta £120,000 av de BRITTISKA myndigheterna efter en anställd som förlorat ett USB-minne som innehåller tusentals av sekretessbelagda och känsliga filer om luftfartsskydd personal. Boeing 737 Max jets har varit förankrad i det förflutna, i avvaktan på utredningar av deras it-säkerhet hållning.
Se även: Resenärer kinda hatar robotar på flygplatser
Standard malware och den mänskliga faktorn är inte de enda faktorer som kan äventyra säkerheten på flygplatserna. Istället angriparna har ett brett pool av system på erbjudande om att ingå airport-nätverk, åberopas och som krävs av personal både på marken och i luften.
Denna vecka, Penna Test Partner publicerade resultaten av en utredning om hur utsatta våra flygplatser kan vara att attackera, har testat ett brett utbud av system och kontroller för svagheter.
Access: När du erhåller en besättning att passera under testet var inte möjligt, dessa RF-kort-ofta att använda sig av mag ränder och PIN-koder — kan stjälas eller kopieras via verktyg som Proxmark, vilket ger hot aktörer tillgång till områden som de inte borde ha.
“Den största enskilda utmaningen är volymen av olika enheter som behöver komma åt: passagerare, besättning, flygpersonal, väktare, polis, tull och andra statliga myndigheter, frakt, måltidsservice och många fler,” bolaget säger.
Building management system (BMS): BMS används för att hantera tillträdeskontroll till viktiga byggnader och rum, elektroniskt styra vem som kan komma in där. Laget kunde köpa en controller via eBay och fann att några BMS är utsatta för fjärråtkomst och autentisering bypass.
VVS: Samtidigt som potentiellt mer irriterande än farligt om manipulerats, Penna Test Partner fann att airport luftkonditionering är oftast styrs på distans av tredje part och detta kan vara en potentiell väg för att utnyttja — speciellt om man är ansluten till mer värdefulla system.
Incheckningsdiskarna: Samtidigt som den offentligt jävlas med en self service kiosk är osannolikt att gå obemärkt förbi, många incheckningsdiskarna hyrs av flygbolag från flygplatsen, och den programvara som körs på dem kan läggas ut på entreprenad till privata företag. Den kompromiss som en länk i denna kedja kan leda till att systemet brister.
Bagage: Enligt forskarna, de flesta bagage system är antingen delvis eller helt självständigt, med stöd av industriella styrsystem och Windows-operativsystem.
“Medan bagage systemet i sig är sällan direkt exponeras på en flygplats nätverk, oftast vistas på en särskild seriell nätverk, gränssnitt till det ibland utsätts för,” teamet säger.
CNET: Kalifornien föreslår bestämmelser för att tillämpa nya personuppgiftslagen
Flygning visas: Som tidigare lyfts fram av Bristol Flygplats händelsen, flyg visar verkar vara en svag länk. Under penetration test, kunde forskarna att injicera deras egen flygning på en display.
CCTV, Wi-Fi: säkerhetsfrågor kring kameror och Wi-Fi-nätverk — särskilt när det offentliga — är väl dokumenterade. I fall av CCTV på flygplatsen experiment, kunde forskarna att återställa privata krypteringsnycklar, och när det kommer till Wi-Fi, en luftfartsskydd oro är det möjligt spoofing av ett nätverk för att locka personal eller flyg-enheter i anslutning till honeypots.
Kommer flygsidan: I vissa fall, biometriska data — såsom ansikte skannar — inte kontrolleras automatiskt; de är i stället skickas till närliggande border officerare för inspektion. De nätverk som underlättar dessa utbyten är inte alltid segregerade och kan vara synliga på företagets nätverk.
Skannrar, x-ray maskiner, och koncession utrymmen, är nätverksanslutna. I det senare fallet, tillgång till en bredare flygplats system kan vara möjligt.
Flygplan och utrustning: Penna Test Partner säger att kontroll-och faktureringssystem för marken kraft som krävs för att hålla flygplan som kör är ansluten till ett nätverk, medan bränsle leverans är mindre så-men blir också allt mer automatiserad.
“Pilot’ s Electronic Flight Bag kan användas för att ange bränsle belastning, som skickas via ett API till en tablett som bärs av fueller har granskats tillbaka på airlines flight operations för vikt och balans,” teamet not.
Flygsidan fordon: Fordon är ofta utrustade med ADS-B för att hålla dem på radar, men problemet är att detta protokoll är inte krypterad och autentiserad, vilket potentiellt kan leda till en kompromiss genom falska signaler, vilket gör att phantom fordon på hårt trafikerade banor.
Instrument landning system: Även känd som ILS, dessa system används ofta för flygplan för att navigera på marken. Tyvärr är de också kunna vara falska.
TechRepublic: Finansiella industrin spenderar miljoner för att hantera överträdelser
För system: Automatisk system för att använda ir för att direkt plan till deras slutgiltiga destination är i användning och är inte osårbar att utnyttja, när laget hittade när de hade möjlighet att ändra en plan signatur från en A380 till en A320.
Den totala komplexiteten av flygets miljö är svindlande, men samma enkla principer som gäller för den säkerhet som för företagets.
Programvara lapp scheman, övervakning av slutpunkter för misstänkt beteende, utbildning av personal och hjälpa till, men med tanke på att en äventyras systemet har en potential att påverka verksamheten i en hel flygplats och operatörer behöver för att gå vidare.
Penna Test Partner säger att segregeringen av nätverk, isolering eller inneslutning av system inte säkras på rätt sätt, och principen om minst privilegium bör vara en prioritet för flygplatser över hela världen att minska risken för it-angrepp.
Tidigare och relaterade täckning
Med hjälp av cloud, big data och biometri för att bygga flygplatsen i framtiden
E-post bedragare plan för att lura 200,000 flygplats kunder är högerregeringens
Ansiktsigenkänning kryper upp på en JetBlue passagerare och hon hatar det
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter