Artikel top billede

(Foto: CNW Group / Hand-out)

Mystisk påstand om fly-hacking puster til vigtig debat: Kan vi stole på it-sikkerheden?

Debatten raser, efter at en hacker har påstået at have hacket et fly via underholdningssystemet.

Der er noget i luften.

Vi ved endnu ikke, om det er løgne, reelle trusler - eller noget, der befinder sig et sted midt imellem.

Sikkert er det dog, at debatten om, hvorvidt man kan hacke et fly, nu igen flyver afsted på de sociale medier og i dagspressen.

Det hele startede, da canadiske APTN National News i fredags bragte en historie med overskriften: Hacker told F.B.I. he made plane fly sideways after cracking entertainment system.

Chris Roberts, som hackeren hedder, har i årevis arbejdet med at dokumentere sårbarheder på fly.

Nu hævder han så, at han på en flyvetur har haft held til midlertidigt at overtage styringen med flyet ved at hacke sig ind i underholdningssystemet.

Til eksperimentet brugte Chris Robert en bærbar computer og et ethernet-kabel.

FBI skal have afhørt ham flere gange, ligesom en domstol også er i færd med at undersøge sagen nærmere.

Men humlen er, om der overhovedet er en sag? Og hvor stor den i såfald er?

Gav flyet kommandoer

APTN National News skriver, at Chris Roberts har forklaret, at han har hacket entertainment-systemerne i Boing og Airbus-fly 15-20 gange mellem 2011 og 2014, og at han i et tilfælde udførte en 'CLB' eller ‘climb-kommando', hvilket fik flyet til at begynde at dreje.

Den historie er det dog langt fra alle der tror på.

Chris Roberts Twitter-profil er rødglødende med kommentarer fra folk, der både bakker ham op, kritiserer ham for at sætte sikkerheden på spil - og beder ham uddybe sine udtalelser for at kunne afgøre, om historien er sandsynlig eller ej.

For som det blandt andet er påpeget af danske Poul-Henning Kamp hos Version2, er det tvivlsomt, om der overhovedet eksisterer en sådan climb-kommando for hver enkelt motor i flyet, der ville kunne få det til at bevæge sig til siden.

Chris Roberts har dog også hævdet, at han har haft adgang til at overvåge trafikken fra flyets cockpit-systemer, og han påstår også at have spottet flere konkrete sårbarheder i flyenes underholdningssystemer.

Manglende it-sikkerhed på fly

Uanset hvad der er op og ned i Chris Roberts forklaringer og de amerikanske myndigheders udmeldinger i sagen, er historien med til at sætte fornyet fokus på diskussionen om flyenes it-sikkerhed.

For nogle uger siden skrev vi her på Computerworld om en stor amerikansk rapport, der påpegede nogle af de ømme punkter i flyenes it-sikkerhed.

"Moderne fly er i stigende grad tilsluttet internettet. Denne forbindelse kan potentielt give uautoriseret fjern-adgang til flysystemer," lød det i rapporten, der primært tog udgangspunkt i den stigende brug af WiFi i flyene.

Man kunne blandt andet læse:

"FAA-repræsentanter (de amerikanske luftfartsmyndigheder, red.) og eksperter, vi interviewede, sagde, at moderne fly i stigende grad er koblet til internettet, hvilket benytter IP-netværksteknologi og potentielt kan give en angriber med fjernadgang adgang til informationssystemer i flyet."

"Ifølge eksperter i cybersikkerhed, vi interviewede, bør internet-forbindelsen i kabinen anses som et direkte link mellem flyet og verden udenfor, hvilket inkluderer potentielt ondsindede aktører."

"En sikkerhedsekspert bemærkede, at en virus eller malware plantet på websider besøgt af passagerne kan give en mulighed for, at en ondsindet angriber kan få adgang til IP-opkoblede informationssystemer ombord via de inficerede maskiner," stod der videre i rapporten.

Det er langt fra første gang, at WiFi-udrulningen hos flyselskaberne skaber sikkerhedsbekymringer.

I efteråret kunne vi fortælle, at de amerikanske luftfartsmyndigheder havde beordret en lang række flyselskaber til at skifte deres cockpit-skærme ud på grund af frygt for WiFi-interferens.

Dermed skulle 1.326 amerikansk indregistrerede Boeing 727- og 777-fly - heriblandt fly fra SAS og Norwegian - have nye cockpitskærme, fordi man frygtede, at de gamle kunne blive forstyrrede af WiFi- og mobilsignaler og sågar vejrradarer.

I forhold til Chris Roberts er det på nuværende tidspunkt svært at afgøre, hvor meget man skal lægge i hackerens påstande, og hvilke konsekvenser sagen eventuelt vil få.

Læs også:

Ny rapport advarer: Sådan kan hackere ramme fly via WiFi i kabinen

WiFi-frygt: 1.326 fly skal have skiftet cockpit-skærme

SAS tvunget til udskiftning af cockpit-skærme efter WiFi-frygt




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

20. juni 2024 | Læs mere


Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere


Det Digitale Produktpas

Kom med og hør om, hvordan du kommer i gang med at sikre din virksomhed er klar til Det Digitale Produktpas. Vi sætter fokus på, hvordan du bliver klædt på til at få styr og struktur på dine data, samt hvilke krav du skal sætte til dine leverandører og andre i din værdikæde, for at sikre den nødvendige information er tilgængelig.

21. august 2024 | Læs mere