Amerykański system kontroli powietrznej podatny na atak

System informatyczny amerykańskiego systemu kontroli ruchu lotniczego jest wysoce podatny na atak hakerski - wynika z raportu podsumowującego audyt, przeprowadzony na zlecenie Departamentu Transportu. Główny problem polega na tym, że system jest bezpośrednio powiązany z nieodpowiednio zabezpieczonymi aplikacjami webowymi.

Testy penetracyjne oprogramowania wykorzystywanego w ramach systemu ATC (Air Traffic Control) zarządzanego przez Federal Aviation Administration (FAA) wykazały, że łącznie w 70 różnych aplikacjach webowych są 763 niebezpieczne (high risk) błędy w zabezpieczeniach. Pełen tekst raportu można znaleźć tutaj.

Do błędów typu "high risk" zaliczono wszelkie luki, pozwalące zdalnemu napastnikowi na przejęcie kontroli nad systemem, zmianę ustawień lub wykradanie danych. Oprócz nich testerzy znaleźli również 504 błędy stanowiące umiarkowane zagrożenie oraz 2590 błędów o niewielkim stopniu zagrożenia. Do tych dwóch kategorii zaliczono na przykład wykorzystanie zbyt słabych haseł oraz niedostateczne zabezpieczenie folderów zawierających pliki krytyczne dla bezpieczeństwa lub funkcjonowania aplikacji.

"Sądzimy, że jeśli problemy te nie zostaną szybko rozwiązane, to atak jest nieuchronny - pytaniem pozostaje tylko kiedy nastąpi. Spodziewamy się, że taki atak skutecznie zakłóciłby funkcjonowanie całej infrastruktury informatycznej ATC" - napisali autorzy raportu.

Przedstawiciele FAA na razie nie komentują tych doniesień - agencja poinformowała jedynie, że zapoznała się z raportem Departamentu Transportu i zamierza staranniej niż do tej pory zająć się uaktualnianiem aplikacji, a także wdrożyć systemy wykrywania włamań.

Z raportu wynika, że FAA wykorzystuje oprogramowanie webowe dostarczone przez zewnętrzną firmę do dystrybuowania informacji pomiędzy swoimi rozsianymi po USA oddziałami. Problem w tym, że aplikacje te nie zostały odpowiednio zabezpieczone. Administratorzy agencji najwyraźniej zapomnieli, że to właśnie aplikacje webowe często wykorzystywane są przez internetowych przestępców do włamywania się do systemów informatycznych korporacji.

Okazuje się, że systemy ATC zainstalowane i wykorzystywane są w setkach placówek rządowych w USA - ale tylko w 11 z nich zainstalowano np. systemy wykrywania włamań. "Incydenty informatyczne nie są odpowiednio monitorowane - aby móc skutecznie przeciwdziałać atakom, FAA musi wdrożyć systemy IDS (intrusion detection system) we wszystkich kluczowych placówkach" - zalecają audytorzy.

Warto dodać, że w roku 2008 r. odnotowano ok. 800 takich incydentów - dotyczyły one systemów informatycznych ATO (Air Traffic Organization - to element FAA odpowiedzialnych za bieżące nadzorowanie samolotów podróżujących nad terytorium USA). Do końca ubiegłego roku nie wyjaśniono ok. 150 incydentów - w tym być może również ataków, podczas których przestępcy uzyskali dostęp do komputerów ATO.

Wiadomo już zresztą, że do skutecznych ataków doszło kilkakrotnie - w lutym tego roku ktoś włamał się przez stronę WWW do jednej z baz danych FAA i wykradł dane osobowe 48 tys. byłych i obecnych pracowników agencji. W sierpniu 2008 r. cyberprzestępcy włamali się do jednego z głównych serwerów FAA - wiadomo, że byli w stanie go wyłączyć (aczkolwiek nie zrobili tego), co mogłoby poważnie zakłócić działanie ATC.

Audyt przeprowadzonych został przez pracowników Departamentu Transportu oraz firmy KPMG. Wiadomo, że podczas testów zatrudnieni przez KPMG hakerzy kilkakrotnie zdołali włamać się do różnych systemów FAA - przez dziurawe lub źle skonfigurowane aplikacje webowe.


Zobacz również