Pen Test Partners, terk edilmiş uçaklardan bir tanesi üzerinde yaptığı araştırmalardan sonra Boeing 747-400'lerde kritik sefer bilgi tabanlarını yüklemek için disketler kullanıldığını bilgi güvenlik topluluğuna açıkladı.
Bu bilgi ise PTP'den Alex Lomas'ın DEF CON görüntü görüşmesi sırasında ortaya çıktı. Olağanda bilgi güvenlik araştırmacılarının havayolu şirketleriyle görüşmesi çok muhtemel değilken Birleşik Krallık merkezli havayolu şirketinin B744 filosunu ıskartaya çıkarması Pen Test Partners için eşsiz bir fırsat doğmasını sağladı.
Boeing 747-400'e sızma testi
Üstteki görüntüden da izleyebileceğiniz uçağın içerisindeyken kayıt almaya başlayan Lomas, uçakların hayli kıymetli olduğunu, havayolu şirketlerinin ve üreticilerin test yapanların ne kademede bırakacağını bilmediği için sızma (penetrasyon) testine müsaade vermediğini söyledi.
Uçağın içerisindeki gezintisine devam eden Lomas, seyir data tabanı yükleyicisine gerçek yöneldi. “Bu bilgi tabanı her 28 günde bir güncellenmek zorundaydı“ diyen Lomas, bir mühendis için ne kadar zevksiz bir iş olduğunu görebilirsiniz dedi.
DEF CON'un sanal iştirakçileri için gerçekleştirilen soru karşılık kısmında Pen Test Partners yöneticisi Ken Munro, Lomas'a çeşitli sorular yöneltti. Herkesin merak ettiği soru ise uçaktaki cümbüş sistemlerini (IFE) bir hücum vektörü olarak kullanarak bir yolcu uçağının hacklenip hacklenemeyeceğiydi.
Lomas, “Özellikle baktığımız yerlerde, IFE üzere yolcu tesir alanı sistemleri ve denetim tesir alanı ortasındaki rastgele çift taraflı bağlantıda bir şey bulamadık. İkisi ortasında bulunan, bilgi servisleri alanının DMZ'si yer alıyor. Bence iki katmanlı ayrım ortasında atlamak tehlikeli olurdu“ tabirlerini kullandı.
