黑客可利用運載規(guī)劃軟件令輪船傾覆

責(zé)任編輯:editor005

作者:nana

2017-12-01 14:38:36

摘自:安全牛

船舶和集裝箱裝載計劃沒有用安全消息系統(tǒng)加以創(chuàng)建,航運公司、碼頭和港務(wù)局等航運相關(guān)實體之間,卻明顯有一系列冗長的電子消息交換?;旧希笮痛懊刻於家肂APLIE系統(tǒng)裝卸數(shù)千個集裝箱,裝載貨物重量大約在20萬噸左右。

輪船也能被黑,原因就在于其脆弱的消息系統(tǒng)。

船舶和集裝箱裝載計劃沒有用安全消息系統(tǒng)加以創(chuàng)建,航運公司、碼頭和港務(wù)局等航運相關(guān)實體之間,卻明顯有一系列冗長的電子消息交換。于是,惡意攻擊者可以隨意利用該漏洞,也就可以理解了。

基本上,大型船舶每天都要用BAPLIE系統(tǒng)裝卸數(shù)千個集裝箱,裝載貨物重量大約在20萬噸左右。該系統(tǒng)會通告港務(wù)局每一個集裝箱的安放位置,該船的制造商經(jīng)常更新該系統(tǒng)。然而,如果客戶沒使用該系統(tǒng)最新版本,犯罪黑客就可修改發(fā)往海關(guān)的信息,模糊掉集裝箱的真實內(nèi)容和重量。

司法部門無法檢查每一個集裝箱并監(jiān)視高風(fēng)險國家的發(fā)貨情況。如果黑客修改了該信息,調(diào)查人員就無法檢測被標(biāo)為高風(fēng)險的集裝箱了。

官方博客揭示,該威脅是真實存在的,任何人都能進(jìn)行此類黑客活動。該消息系統(tǒng)中的漏洞可能影響到輪船的日常職能,讓輪船不能在24-48小時內(nèi)完成裝卸工作,而是花費數(shù)周時間手工盤點貨物。而且,該裝載規(guī)劃軟件本用于將重型集裝箱安置在貨倉底部,以確保重心放低,保持平衡,但這一平衡卻因漏洞的存在而可能被打破。

想想看,如果黑客篡改裝載計劃,故意打破貨輪平衡,會出現(xiàn)什么狀況?修改數(shù)據(jù),讓起重機(jī)無意中把重型集裝箱放到頂部或一側(cè)會怎樣?雖然某些平衡動作是自動的,但轉(zhuǎn)移泵可能無法應(yīng)對意料之外的快速失衡情況。

——Pen Test Partners安全顧問肯·芒羅

Pen Test Partners已經(jīng)警告過輪船和終端間的U盤數(shù)據(jù)交換情況,主要是因為可能往系統(tǒng)中引入惡意軟件——安裝了裝載規(guī)劃軟件的計算機(jī)也會被用于上網(wǎng)或發(fā)郵件。研究人員宣稱,輪船裝載規(guī)劃和各個港口之間的互動是十分關(guān)鍵的,于是U盤登場,想讓裝載計劃可以安全傳給港口。

簡單>>USB>>漏洞。這就是攻擊的時機(jī)。后果就是對經(jīng)濟(jì)、環(huán)境,乃至人命的威脅。

鑒于已經(jīng)有證據(jù)表明,港口集裝箱內(nèi)高價值貨物因內(nèi)部訪問被盜,Pen Test Partners呼吁運營商、終端和港口進(jìn)行深入的消息系統(tǒng)審查,減少被黑威脅。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號