Эксперта по кибербезопасности сняли с двух авиарейсов за неделю из-за твитов об уязвимостях бортовых систем Статьи редакции
United Airlines запретила совершать перелёты на своих бортах Крису Робертсу (Сhris Roberts), американскому специалисту по кибербезопасности, написавшему 15 апреля шуточный твит о том, что он может взломать коммуникационные системы самолёта. До этого его дважды снимали с рейсов авиакомпании из-за записей в микроблоге. Об этом сообщает CNET.
Несмотря на уже полученный посадочный талон, 18 апреля служба авиакомпании не позволила Робертсу сесть на рейс до Сан-Франциско, где он должен был выступить на крупной конференции по кибербезопасности. Причиной стал твит, написанный 15 апреля и указывающий на уязвимость бортовых систем лайнера Boeing 737/800.
Робертс написал, что может получить доступ к сообщениям EICAS, отображающихся в кабине пилотов, а также активировать систему появления кислородных масок.
Find myself on a 737/800, lets see Box-IFE-ICE-SATCOM, ? Shall we start playing with EICAS messages? "PASS OXYGEN ON" Anyone ? :)
— Chris Roberts (@Sidragon1) April 15, 2015
В тот же день специалиста по кибербезопасности, направляющегося в Сиракузы, сняли с рейса сотрудники ФБР. По словам Робертса, его допрашивали на протяжении четырёх часов, после чего забрали ноутбук, iPad и жесткие диски. При этом юрист правозащитной организации «Фонд электронных рубежей» (Electronic Frontier Foundation, EFF) Нэйт Кардозо (Nate Cardozo), представляющий интересы хакера, утверждал, что не видел ордер на обыск своего клиента.
Bye bye electronics, all encrypted....and all now in custody/seized pic.twitter.com/a5o6rYTbZ0
— Chris Roberts (@Sidragon1) April 16, 2015
Крис Робертс, основатель фирмы One World Labs, занимающейся кибербезопасностью, в разговоре с CNN объяснил свои действия отсутствием реакции United Airlines на выявленные им уязвимости, но признал свой поступок глупым. По его словам, это не первый раз, когда компаниям Airbus и Boeing указывают на «дыры» в безопасности их лайнеров. Робертс отметил, что ноутбук можно подключить к коробке под сиденьем и получить возможность наблюдать за многими системами лайнеров в действии.
Несмотря на это, представители United Airlines отметили, что способы взлома лайнера, описанные Робертсом, не сработали бы, а сам хакер будет отстранён от полётов рейсами авиакомпании. В авиакомпании пообещали объяснить Робертсу причины запрета в течение двух недель.
В интересах наших пассажиров и членов экипажа — не допускать этого человека к полётам на бортах United Airlines. Тем не менее мы уверены, что наши системы управления полётом не могли быть взломаны с помощью описанных им методов.
Рашаан Джонсон, пресс-секретарь United Airlines
Представители «Фонда электронных рубежей» назвали инцидент «разочаровывающим и запутанным» и обратили внимание на то, что своими действиями Робертс лишь пытался помочь компании найти уязвимость в системе.
Мы разочарованы тем, что United Airlines не приняла во внимание совет. Мы также надеемся, что компания поймет — исследователи кибербезопасности являются жизненно важными союзниками, а не угрозой.
Нэйт Кардозо, адвокат
TL;DR:
-- Я нашёл уязвимость в вашей системе!
-- Всё.
-- Что всё? Вы её устраните?
-- Всё, не летать тебе больше с нами, проныра ёбаный. А то вдруг ещё найдёшь.
Хотелось бы написать "это так по-русски", но с грустью в очередной раз осознаю, что большие дядьки по всему миру одинаковые. Одинаковые замшелые мудаки.
Примерно так же в Steam делают. Я нашел XSS, отправил одному человеку из их компании и получил бан вечный)
"Сначала они XSS нашли, а потом GTAV за 20 рублей покупают..."
- Извините, у вас сейф открыт. Деньги вываливаются, кто-нибудь забрать может.
- Ты что, вор!?
- Нет, просто подсказываю. Сейф открыт у вас.
- Ловите вора!
Глупый поступок совершила компания, а не он
кстати/ вот интересно
где-нить в договорах и правилах указано что пассажирам запрещено подключаться к этим разъемам?
я думаю если это действительно так, то вполне логично, что пассажирам запрещено подключаться к ним
и зачем тогда они понадобились под сидениями?
я теперь не смогу спать...
"наблюдение" за системами, без возможности повлиять на их работу, само по себе не опасно.
так что не исключено что запрет на подключение нигде не прописан, так как тем, кто писал правила, в то время, в голову не приходило, что пассажиры решат подключится к какому-нить аналогу CAN шины в самолете
Подключение к тим системам может вызывать сбои. Не думаю, что системы расчитаны, что куча народа будет к ним подрубаться "фана ради".
А насчет прописано-не прописано - хороший вопрос. Надо TJournal обратиться за комментариями к кому-нибудь ради такого.
Странно, что многие тут ставят равно между взломом онлайн сервиса и жизнью 200+ паксов на борту на 10 000.
А потом эти люди что-то говорят о толерантности и презумпции невиновности.
В нормальном мире авиакомпания наняла бы такого специалиста как внешнего консультанта по безопасности. Но куда уж там...
Что это там за хуйня такая под сиденьем?
А какой реакции ждал этот товарищ? ну серьезно. Давайте подумаем: он пишет, что может взломать систему крупнейшего производителя самолетов. ЧТО ОН МЛЯТЬ ОЖИДАЛ? Это как тот парень, который дидосил крупнейшие IT компании в России. Конечно , студентика поймали. Я даже не знаю сколько раз можно говорить, что нельзя больше в мире писать глупости и шутить на такие темы. Мы живем в другое время, уже.