Pen Test Partners, terk edilmiş uçaklardan bir tanesi üzerinde yaptığı araştırmalardan sonra Boeing 747-400'lerde kritik sefer veri tabanlarını yüklemek için disketler kullanıldığını bilgi güvenlik topluluğuna açıkladı.
Bu bilgi ise PTP'den Alex Lomas'ın DEF CON video görüşmesi sırasında ortaya çıktı. Normalde bilgi güvenlik araştırmacılarının havayolu şirketleriyle görüşmesi çok olası değilken Birleşik Krallık merkezli havayolu şirketinin B744 filosunu ıskartaya çıkarması Pen Test Partners için eşsiz bir fırsat doğmasını sağladı.
Boeing 747-400'e sızma testi
Yukarıdaki videodan da izleyebileceğiniz uçağın içerisindeyken kayıt almaya başlayan Lomas, uçakların oldukça pahalı olduğunu, havayolu şirketlerinin ve üreticilerin test yapanların ne aşamada bırakacağını bilmediği için sızma (penetrasyon) testine izin vermediğini söyledi.
Uçağın içerisindeki gezintisine devam eden Lomas, seyir veri tabanı yükleyicisine doğru yöneldi. “Bu veri tabanı her 28 günde bir güncellenmek zorundaydı“ diyen Lomas, bir mühendis için ne kadar zevksiz bir iş olduğunu görebilirsiniz dedi.
DEF CON'un sanal katılımcıları için gerçekleştirilen soru cevap kısmında Pen Test Partners yöneticisi Ken Munro, Lomas'a çeşitli sorular yöneltti. Herkesin merak ettiği soru ise uçaktaki eğlence sistemlerini (IFE) bir saldırı vektörü olarak kullanarak bir yolcu uçağının hacklenip hacklenemeyeceğiydi.
Lomas, “Özellikle baktığımız yerlerde, IFE gibi yolcu etki alanı sistemleri ve kontrol etki alanı arasındaki herhangi çift yönlü iletişimde bir şey bulamadık. İkisi arasında bulunan, bilgi servisleri alanının DMZ'si yer alıyor. Bence iki katmanlı ayrım arasında atlamak tehlikeli olurdu“ ifadelerini kullandı.