Пилотом США может оказаться любой дурак или террорист. Электроника не против

Два охотника за киберошибками обнаружили, что с помощью стороннего приложения любой злоумышленник может выдать себя за пилота и пройти все проверки безопасности. Эксперты сообщили о своем открытии в соответствующие инстанции, но американские чиновники даже не поблагодарили добрых хакеров.

И полный доступ в самолеты

Эксперты по информатике из Калифорнийского университета (Беркли) Иэн Кэрролл и Сэм Карри сообщили, что нашли несколько серьезных уязвимостей в системах входа на портале FlyCASS.

Данный сайт используют небольшие авиакомпании, чтобы загрузить информацию о своих пилотах в официальную систему KCM (Known Crewmember — «известный член экипажа»). Данная система принадлежит Администрации транспортной безопасности. Это государственное агентство, которое обеспечивает безопасность пассажиров в США, создано после террористических актов 2001 года.



Также исследователи в области безопасности, используя приложение FlyCASS, смогли проникнуть в систему безопасности доступа в кабину пилотов, принадлежащую FAA (CASS), Федеральному управлению гражданской авиации США.


— Кэрролл.

Проблем с безопасностью нет

Для тех, кто не знает, SQL-инъекции — это один из самых распространенных способов веб-атак. Метод достаточно прост, доступен даже начинающим хакерам и, как правило, используется для кражи конфиденциальных данных у организаций.

Данный инструмент основан на проблемах, содержащихся в SQL — языке структурированных запросов, использующемся для работы с базами данных.

SQL-инъекции позволяют хакеру загружать свой собственный код в пользовательские интерфейсы, например, в контактные формы на веб-сайтах. В данном случае эксперты взломали приложение FlyCASS для небольших авиакомпаний.

Проведя серию базовых SQL-инъекций, Кэрролл и Карри проникли в FlyCASS. Через него они вошли в личный кабинет Air Transport International — небольшой авиакомпании, находящейся в штате Огайо.

Эксперты без труда создали липового сотрудника воздушной фирмы, красноречиво назвав его Test testOnly. «Пилота» снабдили фотографией, а потом внесли его в список действительных гражданских пилотов и получили для него доступ в кабину самолета.




— Картер Лэнгстон, пресс-секретарь Администрации транспортной безопасности США.

Дырявая защита

В ответ на такие громкие высказывания Кэрролл и Карри опубликовали новый отчет, в котором поделились дополнительными подробностями своего исследования. Как оказалось, SQL-инъекции дали им полный администраторский доступ к сайту Администрации транспортной безопасности США. Таким образом, они могли не просто добавлять новые профили, но и редактировать уже существующие данные членов экипажей, как им вздумается.


— Карри.

Напоследок эксперты прямо сказали, что Администрация транспортной безопасности публикует недостоверные заявления о собственной неуязвимости. И это в разы повышает риск гражданской авиации.

P. S.

Принято считать, что гражданская авиация США отличается особой степенью безопасности. Это в корне неверно.



Например, в 2015 году инспекторы Управления Генерального инспектора (OIG) проверили работоспособность систем Администрации транспортной безопасности. В итоге проверяющие смогли пронести через контрольно-пропускные пункты аэропорта более 90% опасных предметов (оружия и взрывчатки). Этот факт вызвал значительное общественное и политическое напряжение вокруг эффективности работы службы безопасности.

В том же году хакеры взломали базы данных Управления кадров США (OPM), что привело к утечке персональных данных, включая информацию о 20 000 сотрудников Администрации транспортной безопасности. Утекла информация, включая социальные номера, даты рождения, адреса и другие личные данные, что вызвало серьезные опасения по поводу кибербезопасности и защиты конфиденциальной информации.