VS waarschuwt voor kwetsbaarheid CAN-bus kleine vliegtuigen
De Amerikaanse overheid heeft een waarschuwing afgegeven voor de onveilige implementatie van de CAN-bus in kleine vliegtuigen waardoor een aanvaller met fysieke toegang allerlei aanvallen kan uitvoeren. Het Controller Area Network (CAN-bus) is het interne netwerk dat de fysieke onderdelen van het vliegtuig aanstuurt, zoals controle- en sensorsystemen.
Onderzoekers van securitybedrijf Rapid7 ontdekten dat een aanvaller met fysieke toegang tot de bedrading van het vliegtuig valse data naar deze systemen kan sturen, die vervolgens aan de piloot worden gecommuniceerd. Het kan dan bijvoorbeeld gaan om foutieve telemetriegegevens van de motor en onjuiste kompas-, positie-, snelheids- en hoogtegegevens. In sommige gevallen is het ook mogelijk om commando's in de CAN-bus te injecteren die de autopiloot uitschakelen of beïnvloeden.
"Een piloot die op deze instrumentlezingen vertrouwt zou het verschil tussen de valse en legitieme data niet kunnen zien. Dit zou tot een noodlanding of controleverlies over het vliegtuig kunnen leiden", aldus onderzoeker Patrick Kiley. Naar aanleiding van het onderzoek heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security een waarschuwing gegeven.
Het CISA adviseert vliegtuigeigenaren om fysieke toegang tot vliegtuigen voor zover mogelijk te beperken. Vliegtuigfabrikanten worden opgeroepen om de implementatie van hun CAN-busnetwerken te herzien en rekening met de fysieke aanvalsvector te houden. Volgens het CISA zijn er binnen de automobielindustrie allerlei vorderingen gemaakt om de CAN-bus beter te beschermen en zouden vliegtuigfabrikanten hiervan kunnen leren.
En bovendien zou dit op een gegeven moment niet remote uit te buiten zijn en ook bij grotere toestellen?
Denk eens aan al die fijne mensen die wel wat terreur willen plegen.
Denk. Eens aan al die fijne software in vliegtuigen.
Alles is veel te veel “ gesoftwarediseerd”
Het gaat allemaal gebeuren,wat je in jouw stoutste dromen niet had verwacht.
Jij snapt er volgens mij helemaal niets van. Ja, je moet FYSIEK toegang hebben. Wel eens over nagedacht dat je een vooraf geprepareerd apparaat aan kan sluiten die bepaalde acties doet zonder AAN BOORD te hoeven zijn.
Je zou er goed aan doen om eens meer dan 1 hersencel te gebruiken voordat het hoofd het toetsenbord raakt.
Informatie die echt tussen de BCM en het motormanagement verstuurd wordt, doen we niet zo veel mee. Dat gaat veelal via Flexray en daar zie je over het algemeen ook wel een vorm van versleuteling, maar niet altijd.
Een vorm van uitgebreide (vaak dubbel of driedubbel uitgevoerde) checksums zie je wel veel terug, in alle vormen van communicatie (dus behalve PWM)
Jij snapt er volgens mij helemaal niets van. Ja, je moet FYSIEK toegang hebben. Wel eens over nagedacht dat je een vooraf geprepareerd apparaat aan kan sluiten die bepaalde acties doet zonder AAN BOORD te hoeven zijn.
Je zou er goed aan doen om eens meer dan 1 hersencel te gebruiken voordat het hoofd het toetsenbord raakt.
over hersencellen gesproken, als je toch al bij de bedrading kan komen met een eigen gefabriceerd apaparaat hoef je alleen maar kortsluiting te maken, of simpelweg een bom ertussen leggen. ‘Aan boord’ is idd een nutteloze toevoeging mijnerzijds maar ik zie echt niet waarom iemand met als doel het crashen van een vliegtuig heeft, de grote moeite zou nemen om zo een gespecialiseerd canbus-device te maken....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
