Op Black Hat heeft IOActive-onderzoeker Ruben Santamarta aanvallen op afstand gepresenteerd op het modem dat gebruikt wordt in vliegtuigcommunicatie en op antennes voor satellietcommunicatie. Er zou echter geen gevaar zijn voor de veiligheid van vliegtuigen.

vliegtuigwifi

Santamarta vertelt dat hij geïnteresseerd raakte in de beveiliging van wifinetwerken in vliegtuigen toen hij in november van vorig jaar op een vlucht zijn netwerkverkeer onderzocht en er achter kwam dat hij een publiek ip-adres toegewezen had gekregen. Daarnaast zag hij dat zijn adres verschillende scans vanaf het internet ontving. Eenmaal geland zocht hij de betreffende ip-ranges via de zoekmachine Shodan en vond vliegtuigen van drie verschillende luchtvaartmaatschappijen die op deze manier via internet te vinden waren. Ze hadden allemaal een modem, oftewel mdu, van dezelfde fabrikant.

Vervolgens bekeek hij dit apparaat nader door de firmware ervan te achterhalen en deze te onderzoeken. Hij kwam er achter dat er een backdoor aanwezig was, waardoor hij een shell kon openen in de op het modem draaiende VxWorks-software. Daarmee had hij echter geen toegang die de veiligheid van vliegtuigen in gevaar zou kunnen brengen. Wel stelde hij dat het mogelijk was om bijvoorbeeld de apparaten van passagiers en van bemanningsleden aan te vallen, maar wijdde daar niet verder over uit. Hij benoemde tijdens de presentatie nog dat hij ook een iot-botnet, Gafgyt genaamd, vond, dat probeerde het modem aan te vallen. Het lukte echter niet om het OS te infecteren.

Daarnaast keek hij naar antennes die gebruikt worden voor satellietcommunicatie, bijvoorbeeld met vliegtuigen en schepen. Ook deze bleken via internet te benaderen en over te nemen. Dat was niet moeilijk volgens Santamarta, die zijn punt illustreerde door te stellen dat hij 'op honderd verschillende manieren roottoegang had kunnen krijgen'. Ook hier kwam hij weer een botnet tegen, zo was een van de systemen geïnfecteerd met de Mirai-malware. Hij toonde in een demo dat het mogelijk is om een dergelijke antenne op afstand te besturen en deze op zelfgekozen plekken te richten.

Volgens Santamarta baant dit de weg naar zogenaamde cyberphysical attacks, waardoor hij bijvoorbeeld schade aan elektronische apparatuur of aan mensen in de buurt kan aanbrengen. Hij legt uit dat dit bijvoorbeeld mogelijk is op een afstand tot maximaal 25 meter bij een bepaald soort antenne. Dat risico bestaat niet bij vliegtuigen, maar bijvoorbeeld wel op schepen zoals cruiseschepen. Zijn bevindingen zouden ook gevolgen hebben voor militaire doelwitten, die door de via internet vindbare apparaten te lokaliseren zouden zijn. Omdat daar nog geen oplossing voor was gevonden, kon hij geen verdere details geven.

Santamarta sluit af door te zeggen dat hij een complex disclosure-proces heeft doorlopen, waar verschillende Certs aan te pas kwamen. Hij kon de fabrikant van de antennes echter niet bereiken. De onderzoeker waarschuwde voor dit soort aanvallen in 2014.

Reacties mogelijk gemaakt door CComment