Luki w oprogramowaniu Dreamlinerów?

Podczas środowej konferencji w Las Vegas, główny konsultant firmy IOActive – Ruben Santamarta ogłosił, że wykrył luki w oprogramowaniu wykorzystywanym na pokładzie 787 Dreamliner. Jak donosi portal The Register, na który powołuje się Cyberdefence24.pl, w samolotach wykorzystywane są trzy sieci elektroniczne. Jedna, nie zawierająca krytycznych elementów, wykorzystywana jest np. do systemu rozrywki pokładowej. Druga zarezerwowana jest do aplikacji wykorzystywanych przez załogę i zespołów obsługi technicznej, natomiast ostatnia sieć, najbardziej krytyczna odpowiedzialna jest za kontrolowanie lotu i odczytywanie danych z czujników.

Nowa jakość we Flight Simulator?

Zdaniem Santamarty możliwe jest wykorzystanie dziur w pierwszym systemie (np. systemie rozrywki), aby uzyskać dostęp do drugiej sieci, gdzie z kolei, wykorzystując wady w oprogramowaniu informacyjnym dla załogi, przedostać się do ostatniej, newralgicznej sieci. Tam już można podpiąć się pod system kontroli lotu i teoretycznie porwać samolot.

Producent lotniczy zaprzecza doniesieniom, twierdząc, że sposób zaprezentowany przez Santamartę z uwagi na filtry sprzętowe uniemożliwia dokonanie przejścia pomiędzy systemami. Co istotne, sam ekspert przyznał, że nie jest wstanie i nie ma sposobu, aby udowodnić, że faktycznie może przejąć kontrolę nad samolotem przez dziury, które wykrył w oprogramowaniu. Jak podał ekspert, Boeing nie pozwolił przelecieć mu się prawdziwym samolotem pasażerskim, aby udowodnić swoją tezę. Potwierdzone jest istnienie luk, a nie to, że można je wykorzystać, dlatego zaoferował Boeingowi pomoc – stwierdził Santamarta na łamach The Register.

Skąd podejrzenia?

Jak donosi portal po rozmowie z przedstawicielami Boeinga, oprogramowanie przeznaczone dla 787 było przechowywane na serwerze należącym do laboratoriów badawczo-rozwojowych producenta samolotów. W wyniku przypadku dane te dostały się do Internetu. Santamarta twierdzi, że natknął się na oprogramowanie we wrześniu, kiedy było ono dostępne poprzez Google.

Inżynier Boeinga, na którego powołuje się The Register stwierdził w rozmowie, że błędy w oprogramowaniu zostały usunięte, potwierdził również, że nie umożliwiały one przedostanie się do systemu kontroli nad maszyną.  Rzecznik producenta Dreamlinerów stwierdził natomiast, że scenariusze zaprezentowane przez IOActive nie mogą wpływać na żaden krytyczny lub niezbędny system samolotu. Nie posiadali również dostępu do większego systemu ani środowisk roboczych.

W związku z niemożnością weryfikacji zarzutów w normalnych warunkach nie poruszylibyśmy tego tematu. Jednak zaufanie do Boeinga i jego zapewnień drastycznie spadło po dwóch katastrofach najnowszych 737. Producent był pewien prawidłowego działania swojej maszyny po październikowej katastrofie MAX-a indonezyjskiej linii Lion Air. Również po tym, gdy w marcu spadł kolejny MAX, tym razem należący Ethiopian Airlines, Amerykanie zapewniali o „pełnym zaufaniu do swojego produktu”. 

Pozostaje wierzyć, że tym razem przedstawiciele Boeinga wiedzą co mówią i nie grozi nam scenariusz rodem z książek gatunku fantastyki naukowej.