航空公司和機場已成網絡攻擊者熱門目標,或求財,或盜身份,或進行網絡間諜活動,動機五花八門。對機場和航空公司的網絡攻擊往往與乘客安全無關,但這不是忽視這些攻擊的理由。
最近國泰航空、英國航空公司和加拿大航空所遭網絡攻擊反映出了航空業被網絡罪犯盯上的趨勢。加拿大航空在2018年8月底發出警報,敬告用戶某手機App數據洩露影響2萬客戶。英國航空公司在9月承認遭遇網絡攻擊,影響38萬乘客;1個月之後,該公司遭遇二次攻擊,再追加18.5萬受害者。萬聖節前幾天,國泰航空披露重大數據洩露事件,940萬人數據被洩——航空業迄今為止影響人數最多的數據洩露事件。
對想靠敏感數據掘金的攻擊者來說,航空業堪比金礦。
火眼首席情報策略師 Christopher Porter 稱:
“
民族國家很久以前就開始攻擊航空業收集乘客數據了,但網絡罪犯對航空業的攻擊出現了增長。
因為航空業高收益且時間敏感,罪犯意識到自己可以可以從客戶處抽取支付數據,利用信用卡信息進行欺詐或者用勒索軟件敲詐航空公司。最近兩年裡,火眼觀測到利用勒索軟件短時禁用票務系統和支持服務的案例在增加。
在2019威脅報告中,火眼研究人員指出,
航空業將是來年的一大主要網絡攻擊目標。除了網絡間諜,航空公司還面臨第三方售票者在暗網售賣非法機票,以及盜取公司存儲的有價值數據的威脅。比如說,護照。這是航空公司擁有而其他行業機構基本沒有的一類信息。雖然護照信息對國家級黑客更有價值,但進行網絡釣魚攻擊和身份盜竊的詐騙者也很有用。如果能收集到大量護照信息,這些信息本身就能在暗網直接賣個好價錢。
目前還沒有足夠的公開數據來確定護照是不是航空業網絡攻擊的目標,但只要成功攻入航空公司系統,黑客絕對不會放過護照數據。這是除用戶姓名、住址、電子郵件地址、支付卡號、電話號碼和其他個人數據之外,航空公司持有的多類信息中的一種。當然,支付信息對金融盜竊最有用,但所有其他信息都可以用於身份欺詐。
現代人經常乘飛機出行,攻擊航空公司能一下子收穫大量個人信息。過去我們慣於看到針對個人的攻擊,但只要能攻擊一個目標就收穫所有數據,何樂而不為?從罪犯的視角看,航空公司根本就是個戰略性目標。
怎麼突破
入侵提供商盜取支付卡數據的黑客可能訪問不到所需的全部信息(比如說,信用卡安全碼(CVV)),因為提供商不存儲這些信息。但是,可以靠放在網站上的腳本代碼來捕獲。
很多航空公司,包括英國航空公司和國泰航空,其處理在線支付的處理器中都被注入了惡意腳本。這一攻擊方法對攻擊者來說很有用,卻給遭攻擊的公司企業帶來了修復上的麻煩。
另一個常見的攻擊途徑是航空供應鏈。
公司過程中涉及的第三方供應商越多,安全問題出現的概率越高。機場的供應商本來就很多,其運營還需要與政府、信用卡公司、行李裝卸工、維護人員和大量其他支持公司持續交換數據。
這些都是網絡罪犯的潛在入口點,是很好的目標。供應鏈就是航空公司在做企業風險規劃時沒考慮到,但現在最應該重視的“隱藏風險”。
如果航空公司使用第三方開發的過程,比如說支付過程,那航空公司的安全就交到了第三方的手裡,給了攻擊者一點進攻優勢。攻擊者很清楚如何在兩家公司間的間隙悄悄滑入。
如果沒有特別好的原因需要使用第三方腳本,最好別用。就像很多高科技系統那樣,設備越簡單,故障率越低。
繫好安全帶:航空業安全挑戰與建議
面對網絡攻擊增加的趨勢,航空公司和機場最好確保自身資產受到良好防護,並執行高品質的滲透測試,尤其是對面向Web的系統,這些系統是最容易遭到黑客反覆攻擊的。另外,還可以對供應鏈實現第三方審計,並關聯不同地理區域的數據以檢測威脅模式。
比如說,在新澤西、香港和克羅地亞的分公司都發現了相同的異常,那如果沒有關聯起來,就明顯會錯過可能預示著數據洩露的指標。
另外,最好自行開發腳本以保持對安全擁有更多控制。對於依賴第三方提供商的公司,強烈建議以審查自身代碼相同的嚴格標準來評估外部代碼,進行良好且深入的測試。
要確保涉及所有過程,並保證個人信息處理是堅實有效的。
控制:誰負責網絡
美國的有些機場是私有的,或者多個市政府共有,或者有不同的利益相關者,這就產生了一個問題:誰來負責信息安全?
這一點上,每個人的答案都不一樣。
機場和航空公司信息安全改善空間很大,可以通過聯合利益相關者執行安全演練來提升機場安全態勢。比如,設計一箇中斷機場運營或干擾航班飛行的網絡威脅場景。航空業必須確定響應中每個元素的負責人,不能等到事件發生時才現找。
美國國會和行政部門越來越關注航空業網絡攻擊的潛在致命風險。為證明航空旅行是安全的,航空公司及其合作伙伴必須反覆檢查自身安全狀態。某些機場,以及美國國土安全部(DHS),已經開始著手這項工作。
網絡犯罪能弄下一架飛機嗎?不太可能
數據洩露通常會損及公眾形象,航空業數據洩露則常常導致乘客對其飛行過程中人身安全的擔憂。專家認為沒必要杞人憂天——大多數針對航空業的攻擊影響的系統與飛行安全沒有直接聯繫。不過,這些攻擊仍需引起重視。
網絡攻擊雖然不太可能遠程搞下一架飛機,但像勒索軟件這樣的攻擊卻可以中斷航班運營:不會影響到乘客人身安全,但會影響飛行員起飛的能力——如果他們訪問不到航班表的話。
2017年DHS的一項研究表明,黑掉一架飛機至少在技術上是可行的。掌握最尖端技術的黑客團隊有可能做到。我們總得為最壞情況做好打算。
安全研究人員已經證明了這一技術可能性。今年早些時候,IO/Active首席安全顧問 Ruben Santamarta 在黑帽大會上演示瞭如何從地面上黑進飛行中的飛機及其機載衛星通信設備。設備漏洞包括後門、不安全的協議和網絡配置錯誤,能影響主要航空公司的數百架商務飛機。
不過,對公眾和決策者來說,最大的威脅影響的是他們的數據而不是飛機的安全。網絡間諜才是航空業安全最大最常見的威脅。
2019火眼威脅報告地址:
https://www.darkreading.com/risk/cloud-china-generic-malware-top-security-concerns-for-2019/d/d-id/1333283
閱讀更多 安全牛 的文章
