DHS Memperingatkan Pesawat Kecil yang Rentan Terhadap Serangan Manipulasi Data Penerbangan

Apa yang bisa lebih mengerikan daripada mengetahui bahwa seorang peretas dapat menipu sistem elektronik pesawat agar menampilkan data penerbangan palsu kepada pilot, yang pada akhirnya bisa mengakibatkan hilangnya kendali?

Tentu saja, penyerang tidak akan pernah ingin berada di penerbangan yang sama, jadi dalam artikel ini, kita akan berbicara tentang celah potensial yang dapat memungkinkan penyerang untuk mengeksploitasi kerentanan dengan beberapa tingkat akses fisik "tanpa pengawasan" ke kecil Pesawat sebelum pesawat lepas landas.

Departemen Keamanan Dalam Negeri (DHS) Amerika Serikat telah mengeluarkan peringatan untuk hal yang sama, memperingatkan pemilik pesawat kecil untuk berjaga-jaga terhadap kerentanan yang dapat memungkinkan penyerang untuk dengan mudah meretas bus CAN pesawat dan mengendalikan sistem navigasi utama.

Kerentanan, yang ditemukan oleh seorang peneliti keamanan siber di Rapid 7, berada dalam implementasi pesawat CAN (Controller Area Network) bus modern – standar jaringan kendaraan populer yang digunakan dalam mobil dan pesawat kecil yang memungkinkan mikrokontroler dan perangkat untuk berkomunikasi satu sama lain dalam aplikasi tanpa komputer host.

Peneliti Rapid7 Patrick Kiley menunjukkan bahwa seorang peretas dengan akses fisik ke kabel pesawat kecil dapat melampirkan perangkat – atau mengkooptasi perangkat terpasang yang ada – ke avionik pesawat BISA bus untuk memasukkan data palsu dan mengomunikasikannya kepada pilot.

"Pesawat modern menggunakan jaringan elektronik untuk menerjemahkan sinyal dari berbagai sensor dan menempatkan data ini ke dalam jaringan untuk ditafsirkan oleh instrumen yang sesuai dan ditampilkan kepada pilot," kata Kiley dalam sebuah laporan yang diterbitkan Selasa.

Penyerang dapat memanipulasi data berikut:

• Pembacaan telemetri mesin
• Kompas dan data sikap
• Data ketinggian, kecepatan udara, dan sudut serang (AoA)

"Para peneliti lebih lanjut menguraikan bahwa seorang pilot yang mengandalkan pembacaan instrumen tidak akan dapat membedakan antara pembacaan yang salah dan sah, yang dapat mengakibatkan hilangnya kendali pesawat yang terkena dampak," divisi cyber DHS memperingatkan Selasa.

Kiley mendemonstrasikan serangan itu setelah menyelidiki sistem avionik – kontrol elektronik dan sistem navigasi yang dipasang di pesawat – dari dua produsen pesawat komersial tanpa nama yang berspesialisasi dalam pesawat ringan.

Kiley menemukan bahwa masalah utama dengan bus CAN avionik adalah bahwa hal itu diintegrasikan ke dalam komponen pesawat lain tanpa firewall atau otentikasi, yang berarti koneksi yang tidak dipercaya melalui adaptor USB yang terpasang pada pesawat dapat mengirim perintah yang tidak sah ke sistem elektroniknya.

"Dalam avionik, sistem ini memberikan dasar sistem kontrol dan sistem sensor dan mengumpulkan data seperti ketinggian, kecepatan udara, dan parameter mesin seperti tingkat bahan bakar dan tekanan oli, kemudian menampilkannya ke pilot," kata peneliti.

"Paket CAN juga tidak memiliki alamat penerima atau mekanisme otentikasi bawaan apa pun. Inilah yang membuat bus mudah diimplementasikan, tetapi juga menghilangkan jaminan bahwa perangkat pengirim adalah pencetus pesan yang sebenarnya."

Meskipun serangan itu terdengar menakutkan, tidak mudah untuk mendapatkan akses fisik "tanpa pengawasan" ke pesawat, mengingat "praktik dan peraturan industri saat ini," namun demikian, laporan Rapid7 patut diperhatikan.

Peneliti juga menunjukkan bahwa sektor avionik tertinggal di belakang industri otomotif ketika datang ke sistem bus CAN.

Industri otomotif telah membuat kemajuan dalam mengimplementasikan perlindungan, seperti penyaringan khusus bus CAN, daftar putih, dan pemisahan, yang mencegah serangan fisik serupa dengan sistem bus CAN. Pembuat pesawat juga harus menerapkan perlindungan ini.

DHS 'CISA mendesak produsen pesawat untuk mempertimbangkan perlindungan jaringan di sekitar sistem bus CAN dan memastikan mereka membatasi akses ke rencana mereka dengan kemampuan terbaik mereka.