کشف آسیب‌پذیری‌های جدی در جت جنگنده آمریکایی

هکرها، آسیب‌پذیری‌های جدی در یک جت جنگنده نظامی آمریکایی را کشف کردند.

به گفته کارشناسان، هنگام برگزاری کنفرانس امنیت سایبری «Def Con»، تیمی از هکرهای بسیار پیشرفته سعی در تخریب سیستم پرواز یک جت جنگنده نظامی آمریکایی کردند و موفق شدند.

این اولین باری بود که به محققان خارجی اجازه دسترسی فیزیکی به سیستم «F-15» برای تحقیق درمورد نقاظ ضعف داده می‌شد. پس از ۲ روز تلاش، این هکرها آسیب‌پذیری‌هایی را کشف کردند که در صورت وقوع در زمان واقعی می‌توانست منجر به تخریب پایگاه دانلود اطلاعات هوایی مورد اعتماد (TADS) شود که جمع‌آوری مجموعه داده‌های دوربین‌های ویدئویی یا سنسورها هنگام پرواز جت را برعهده دارد.

آنها اشکالاتی را پیدا کردند که نیروی هوایی نتوانست پس از آزمایشات مشابه هکرها در ماه نوامبر گذشته بدون لمس دستگاه، برطرف کند.

ویل راپر (Will Roper)، افسر ارشد نیروی هوایی آمریکا گفت:

هکرها توانستند به طریقی که می‌دانستند کار خود را انجام دهند.

هکرها، حملات متنوعی از جمله آلوده کردن سیستم با بدافزار یا حتی تخریب فیزیکی – با آچار و انبردست – راه‌اندازی کردند؛ به‎‌طوریکه جعبه فلزی ایمن در هواپیما از جلو آویزان شده بود. راپر اعلام کرد که انتظار این نتیجه بد را داشته است و نقاط ضعف ناشی از دهه‌ها غفلت از امنیت سایبری را به عنوان مسئله‌ای مهم در توسعه محصولات برشمرد، زیرا نیروی هوایی زمان، هزینه و کارآیی را در اولویت قرار داده است.

وی امیدوار به تغییر این مسئله و نتایج واکنش جدید دولت ایالات متحده به هکرها است؛ زیرا در گذشته ارتش به هکرها اجازه تحقیق در مورد آسیب‌پذیری‌ها در تجهیزات بسیار حساس را نمی‌داد. به گفته راپر، نیروی هوایی متقاعد شد که با وجود اجازه به بهترین هکرهای آمریکا برای جستجوی آسیب‌پذیری‌های دیجیتال در هواپیماها و سیستم‌های سلاحی، اما بهترین هکرهای دشمنانی مانند روسیه، ایران و کره شمالی این آسیب‌پذیری‌ها را زودتر کشف می‌کنند.

افسر ارشد نیروی هوایی اظهار داشت:

میلیون‌ها خط کد در همه هواپیماهای ما وجود دارند و اگر کسی بخواهد در یکی از آنها نقص ایجاد کند، کشوری بدون توانایی ساخت جنگنده برای نابودی هواپیما می‌تواند سریعاً به این نقص‌ها دست یابد.

در کنفرانس Def Con سال آینده، او قصد دارد هکرهای معتبر را به پایگاه‌های هوایی «Nellis» یا «Creech» نزدیک لاس وگاس بیاورد تا بتوانند در هر سیستم دیجیتالی در یک هواپیمای نظامی اشکالات را پیدا کنند؛ درنتیجه با پیدا کردن باگ‌ها در یک سیستم، دیگر سیستم‌ها نیز اشکالاتشان مشخص می‌شوند و بدین صورت هکرها کنترل کل هواپیما را در اختیار می‌گیرند.

راپر با بیان اینکه تصمیم دارد سیستم کنترل زمینی را برای ماهواره نظامی عملیاتی در آزمایش هکرها باز کند، توضیح داد:

ما می‌خواهیم این جامعه با سیستم‌های سلاحی و هواپیماهای واقعی روبرو شوند. و باید پیش از درگیری، آسیب‌پذیری‌ها کشف شوند. چالش‌های هک برای بخش خصوصی مفید هستند، زیرا ماهواره‌ها و هواپیماهای نظامی بسیاری از سیستم‌های رایانه‌ای خود را با نسخه‌های تجاری آن محصولات به اشتراک می‌گذارند و نیروی هوایی می‌تواند یافته‌های خود را به اشتراک بگذارد.

هکرها از سوی «Synack»، شرکت امنیت سایبری و فروشنده دستگاه‌های آزمایش آسیب‌پذیری شخص ثالث پنتاگون طبق قراردادی با سرویس دیجیتال دفاعی، تیم متخصصان فناوری بخش خصوصی با هدف حل برخی مشکلات فناوری پنتاگون در کوتاه‌مدت به وگاس آورده شدند.

سرویس دیجیتال دفاعی با برگزاری مسابقات هک در مقیاس بزرگ در سال ۲۰۱۶ و با نام‎هایی مانند «هک پنتاگون» و درنهایت «هک نیروی هوایی» کار خود را آغاز کرد. هر فردی می‌توانست در این مسابقات شرکت کند اما فقط اهداف هک پیش روی دولتی مانند : برنامه‌‎ها و وب‌سایت‌های خدمات نظامی وجود داشتند.

اندکی بعد، آنها سیستم‌های حساس‌تری را برای شمار کمی از هکرهای معتبر امضاکننده توافق‌نامه‌های غیرآشکار باز کردند.

برت گلدنشتاین (Brett Goldstein )، رئیس سرویس دیجیتال دفاعی و دارای شهرت در حوزه فناوری به عنوان مدیر فناوری اطلاعات میز باز و رئیس ارشد داده‌ها در شیکاگو گفت که این سرویس حدود ۱۲ رقابت هک بسیار حساس را تاکنون برگزار کرده است، اما این اولین باری است که یک سیستم ۲ بار برای هک پیشنهاد می‌شود.

گلدنشتاین خاطرنشان کرد:

این موضوع اهمیت دارد، زیرا امنیت یک فرآیند مداوم است. شما نمی‌توانید پس از انجام تمرین با اطمینان بگویید که ما همه چیز را پیدا کردیم؛ شما باید مرتباً بررسی و ارزیابی کنید.

هکرها این بار می‌توانند تهاجمی‌تر عمل و سیستم‌های پایگاه دانلود اطلاعات هوایی مورد اعتماد را به لحاظ فیزیکی برای رسیدن به ایده بهتر از اثرگذاری حملات دیجیتال تفکیک کنند.

هکرها می‌توانند با شبیه‌سازی حمله سایبری دشمن، در مورد نفوذ در شبکه گسترده زنجیره تأمین تشکیل دهنده عناصر پایگاه دانلود و دانش پیچیده نحوه به خطر افتادن این عناصر تحقیق کنند. آنها همچنین درمورد نواقص ساخت سخت‌افزار پایگاه دانلود اطلاعات هوایی مورد اعتماد و احتمال بیشتر حملات دیجیتالی، نیروی هوایی را آگاه سازند.

راپر اعلام کرد که با حرکت به سمت جلو، فروشندگان نیروی هوایی برای ساخت بهتر کنترل‌های امنیتی نرم‌افزار و سخت‌افزار در هواپیماها و سیستم‌های سلاحی در قسمت جلو تلاش می‌کنند؛ بنابراین نیروی هوایی درنهایت مجبور نیست کار زیادی در حوزه امنیت سایبری انجام دهد.

وی با وجود مخالفت با قرارداد نظامی محرمانه، تصدیق کرد که اصلاحات اساسی بسیار دشوار خواهند بود. دربرخی موارد شرکت سازنده سیستم نیروی هوایی نرم‌افزار جاساز شده در سیستم را در اختیار دارد و به نیروی هوایی اجازه باز کردن آن را تا زمان آزمایش نمی‌دهد. در موارد دیگر، نیروی هوایی با سیستم‌های فناوری اطلاعات قدیمی درگیر است که به‌روز نیستند و تأمین امنیت بیشتر برای آنها حتی با بهترین متخصصان دشوار است.

 افسر ارشد نیروی هوایی آمریکا تصریح کرد:

برگشت از موقعیت فعلی دشوار است و ما تمام تلاش خود را می‌کنیم. من تأکید دارم که این کار همانند وارد شدن به یک بازی بیس‌بال طولانی خواهد بود.