安卓智能机劫持飞机案件引发航空恐慌

多数科技创新并非仅仅针对某些问题,很多是源自假想,而这些假想只要在理论上讲得通,如果付诸必要的设计和研究,总会有所突破。当能够联网的电子设备开始大量进行汽车领域的时候,航空航天领域早已是准备齐全了各类高端的信息装备。

近来,德国安全研究人员Hugo Teso在Amsterdam的Hack in the Box安全会议上展示了通过手机劫持飞机实战演示,立即引来全球信息安全业界的强烈关注,可怕的是攻击者并不需要对飞行器有深入的技术了解,只需沿用传统的网络安全攻击入侵手段,便可轻易地通过安卓手机应用PlaneSploit拿下飞行管理系统FMS、劫持并摇控一架航空飞机

PlaneSploit利用了空管局调度和报告系统的安全漏洞,获得一些关键飞行资料数据,甚至恶意篡改它们。而与之相响应的飞机端的系统则无法识别出异常情况和真假指令,自动化程度越是高的飞机越是只能乖乖就范,所能造成的严重后果只能凭人们想像。

所幸的是,航空安全总是留给飞行员手动控管和指挥的特权,无疑会让人类的智能判断和响应凌驾于错误的电子系统报告之上,不过这就需要依赖飞行操控“人员”的知识和经验。昆明亭长朗然科技有限公司的安全管理顾问James Dong说:要提升飞行员的安全知识和经验,不能全拿真实的血淋淋的案例,那样代价太高。航空业等需要通过各类虚拟培训手段来提升安全意识,提升安全隐患的监测、识别、应急报告和响应意识。

说到底,航空飞行高复杂度,成千上万的飞行信息系统只要有一个环节出现安全漏洞,便可能被恶意攻击者发掘和利用,所以,修复系统安全漏洞的工作非常繁重。但是线上的系统即使有安全漏洞,也不一定能够立即获得修复,毕竟要变更处于生产中的系统不是随时都可以进行的。

再者,众多系统的安全漏洞与开发者的安全意识息息相关,系统开发项目立项时可能并未充分考虑到安全问题,这给攻击者留下了可乘机之机会。内置安全到应用系统也只是近几年才出现的安全实践,让历史遗留的系统安全问题处理起来甚是棘手。在安全漏洞面前,如果攻击者的响应速度快于系统安全研究人员和开发人员的速度,就意味着灾难不可避免。所以,加强软件开发管理中的安全管理要远远重于修复已知系统的安全漏洞,正所谓:防范用于救治。

最后,则是利用和保护受影响人群,在飞行起降途中,恐怖分子可能故意开启安卓手机信号干扰工具来劫持、篡改或扰乱通讯,继而让空管站或飞行员获得错误的信息或采用错误的决策。只依赖信号灯、教学视频和空姐们的指示可能并不足够,还需要一些无线信号探测器等技术手段,也需加强乘客之间的安全监督,并且教育乘客发现异常安全情况立即向机组人员报告。

所幸的是,尽管PlaneSploit被证明了有强大的实力,但先机仍被掌握在正义之师的手中,不过恐怖分子或犯罪集团定会受到启发并且开始着手行动计划,我们不能掉以轻心,必需加强多个层面人员的安全意识教育啊。

aircraft-security-awareness

网络钓鱼攻击的演变历史及趋势

钓鱼Phishing攻击已经有了十余年的历史,典型的手段是假冒的钓鱼邮件和钓鱼网站。尽管近年来全球各国在打击垃圾邮件和钓鱼网站方面取得了举世瞩目的骄傲成绩,然而,昆明亭长朗然科技有限公司的一项安全调查表明:不少信息安全管理负责人仍然担心公司会成为网络钓鱼分子的攻击目标。

显然,现在的网络钓鱼攻击仍然有一部分是批量化的随机诈骗,而且在防垃圾邮件系统和网站信誉系统越来越多被部署和实施的年代,钓鱼邮件对垃圾虫们的“业绩”贡献越来越小。我们可以看到的趋势是网络犯罪分子在不断变换各类诈骗手法,比如近年来,钓鱼邮件生意清淡而社交网络火热时,网络钓鱼分子便将主要精力转向社交网站渗透。使用短链接服务的社交网站深受其苦,则开始绑定网站信誉评价和网站安全扫描,并且查封不法分子使用的社交诈骗帐户。而网络犯罪分子开始抢时间,不断变换诈骗网站的域名、申请新的社交网络帐户并且争取在最短的时间内发送海量钓鱼消息。社交网络的应对之策是设定消息发送阀值,并增设验证码……

可以说,这种安全博弈战会一直进行下去,人们也不会忽略的是另一部分非批量化的随机诈骗,这些网络犯罪分子往往都是坚定的攻击者,他们会选择特定的目标,拿出所有的可能手段。特别是当他们受到反动势力或黑恶组织的资助时,力量便会倍增。安全界给这类攻击取名为APT,高级可持续性威胁,如果成为APT的目标,几无生还的可能,让伊朗核电站受到重挫的Stuxnet则是典型的APT攻击案例。

尽管提到APT,安全专家们都会面如灰土,但是并非所有公司都能成为APT攻击的目标,实际上,只是幸运儿才会被大型组织所资助的网络犯罪团伙看中。但是,正义的人们也不能心存侥幸,即使不会成为APT攻击的目标,也得防范小规模的坚定攻击分子、其它较弱的安全威胁以及它们可能使用的下三滥安全渗透攻击手段——其中包括网络钓鱼。

即使是判断率最为精确的防垃圾邮件系统也无法有效识别那些有专门针对性的精心策划和构建的钓鱼邮件,而只面向受害群体而不针对大众使用的钓鱼网站更是难以受到网站信誉系统的光临。如何有效防范这些攻击呢?唯有从它们的攻击目标入手,即强化对公司员工进行安全防范意识教育,让员工们有能力识别钓鱼邮件,有动力报告钓鱼邮件,同时可以互相分享和吸取网络钓鱼攻击防范经验和技巧。