Во время пугающей презентации на хакерской конференции Defcon один из
исследователей показал, насколько легко скомпрометировать систему управления
воздушным движением Федерального управления гражданской авиацией США (FAA).
Райтер Кункель проявил достаточно осторожности, чтобы не раскрывать деталей
того, как можно убирать самолеты с небес. Однако он продемонстрировал, насколько
легко можно прервать поток информации, поступающей в диспетчерскую вышку и на
радиолокационную станцию, а также ту легкость, с которой можно предоставить
вымышленный план полетов и выдать себя за пилота, даже если таковым не
являешься.
Например, можно получить фальшивую идентификацию, придти к врачу и взять у
него справку о пригодности к полетам, после чего получить сертификат
пилота-ученика. С этим сертификатом можно зарегистрироваться на сайте
регистрации FAA, а затем выпускать свои собственные планы полетов.
Любая вышка управления распечатывает каждый утвержденный план полета. Система
считает тебя доверенным пользователем, однако теоретически ты можешь ввести в
нее огромное число полетных планов, вызвав отказ в работе. По сути это
DoS-атака, способная вызвать сбой всей системы. По словам Кункеля, само FAA
говорило о том, что некоторые его сети неправильно соединены между собой.
Исследователю удалось обнаружить, что одна из систем работает с Telnet, что
может привести к непредвиденным последствиям, если использовать ее при
проведении кибератаки.
В выпущенном в мае отчете FAA обнаружило 763 уязвимости в 70 веб-приложениях,
которые используются внутри FAA. Некоторые из этих проблем FAA обещает устранить
в феврале 2010 года.
