现代化船舶制造商顺应联网大潮流,将船舶各个部分连到互联网。因此,任何现代化的游艇现在不仅配备有导航系统,还有一整套含有路由器和交换机的物联网设备 – 不管这些设备有无必要。
因此,忽然之间,游艇与互联网密不可分,结果也和其他联网设备一样,面对着同样的安全问题:技术是在现代安全标准出台之前开发的、导航和信息娱乐系统连到同一网络、船上的互联网没有采取任何防御措施等等问题。ROSEN集团的Stephan Gerling在2018安全分析师峰会上,报告了这其中的部分问题。
一艘游艇上的网络可能连接着大量系统和设备 – 船舶交通服务(VTS)设备、自动识别系统(AIS)、自动驾驶仪、GPS接收器、雷达、摄像机(包括热敏摄像机)、深度探测仪、发动机控制和监测系统(有些现在已基于云端)等等。所有这些电子装置全部通过基于国家海事电子协会(NMEA)即插即用标准的总线来连接到网络。这些标准中,最新的是NMEA 2000(或简称N2K)。但奇怪的是,该新标准的内容与陆地车辆使用的CAN总线有关。
即便电子船舶工具不连到互联网,也仍然可能成为一些已知攻击向量的目标:GPS干扰、GPS欺骗、AIS欺骗等等。这类攻击可不仅仅停留在理论上;有些实际已经成为现实。在这种类型的攻击中,犯罪分子可以改变船舶位置和速度信息(即通过AIS收集的数据),例如传送到港口调度台以避免发生碰撞的信号。对GPS信号或AIS连接进行攻击会导致导航方面的问题,甚至造成与其他船只发生碰撞、出现严重损坏甚至人员伤亡。
除了NMEA外,现代游艇还装有其他网络。信息娱乐网络基于我们日常所用的TCP/IP协议,包括我们熟知的联网设备:路由器和交换机、Wi-Fi接入点、IP语音电话、智能电视等等。
这里的问题是NMEA和TCP/IP网络都是通过网关连接的。一方面,这意味着游艇所有者可以通过自己的智能手机或平板电脑来远程控制和监测船舶系统,包括灯光、窗帘一直到发动机。甚至自动驾驶仪也可以通过特殊的无线设备进行控制。但另一方面,这意味着这两个网络并不是隔离的,因此一旦信息娱乐网络遭到黑客攻击,很有可能会进一步深入攻击到NMEA网络。
当然,信息娱乐网络是通过卫星、高功率4G/3G/2G和Wi-Fi模块来接入互联网的。
为了展示船上的网络到底有多不安全,Gerling在船上采用了一个可用于建立和控制互联网连接及本地网络的解决方案。为了方便用户使用,该解决方案支持通过软件(Windows、iOS或Android)对其进行远程控制,而这正是导致问题的根源所在。
例如,每次在平板电脑、手机或计算机上打开该控制应用时,都会与路由器建立FTP连接并下载XML文件。该文件包含完整的路由器配置,包括硬编码的路由器凭证和Wi-Fi SSID和明文形式的密码。FTP协议并不安全,因此这些数据很容易被拦截,这意味着犯罪分子通过拦截这些数据,可以全面控制游艇的路由器和信息娱乐网络。此外,Gerling在路由器操作系统中还发现了开发商留下的一个拥有根用户权限的用户帐户,此帐户可能是为了用于获得远程技术支持。
网络犯罪分子在控制信息娱乐系统之后能干些什么呢?比如说,可以拦截包括HTTP请求、音频(IP语音)和视频(监控)流等在内的流量。这不仅有利于部署间谍活动,还可以攻击所有使用Wi-Fi连接的设备。
Gerling将所有发现的问题报告给供应商后,供应商将网络协议从FTP更改为SSH,并开发了新的应用程序和路由器固件版本。打过补丁后的软件依旧包含硬编码凭证 – 开发商只是把密码从原来的”12345678″更改为更复杂的密码。另外打补丁后,开发商的根用户账号仍然保留在路由器的操作系统中。
总体来说,我们对游艇所有者并没有太多建议。船载信息娱乐系统通常不是一套DIY的路由器和电缆,而是作为具有选择有限的整套解决方案交付。少有游艇所有者会自行安装和调整自己的系统。简而言之,我们所能建议的是,请明智选择信息娱乐解决方案的制造商。
据称,有研究表明,就算是复杂、昂贵的解决方案也可能包含简单而容易被攻击的缺陷,这些缺陷可用于对游艇所有者和客人进行间谍活动。换句话说,船上的一切信息不会只停留在船上。考虑到有这么多的名流拥有或租用船只,因此制造商应该更加重视安全性 – 应该主动让专家和渗透测试人员参与其中 – 而不仅仅是坐等严重的泄漏事件发生,而一旦发生这类事件,制造商肯定会大受指责。
从IT安全角度来看,联网游艇与联网汽车十分相似,因此可以采用类似的方法进行保护:例如,实施网关用来保护机载计算机系统组件之间数据交换。这类方案中,其中一个就是我们为汽车制造商开发的基于卡巴斯基操作系统的设备。
借助我们的微内核操作系统,这种保护可以控制信息系统内硬件组件之间的所有交互,防止因内部错误或未授权访问企图而导致的任何偏差。您可以在卡巴斯基操作系统网页上了解我们的操作系统及其功能的更多信息。