विमान हैक किया जा सकता ?!
विमानन उद्योग में उपयोग की जाने वाली संचार प्रौद्योगिकियों में सुरक्षा की कमी से यह दूरस्थ रूप से संभव हो जाता है एम्स्टर्डम में बॉक्स सुरक्षा सम्मेलन में हैक में बुधवार को पेश किए गए शोध के मुताबिक महत्वपूर्ण ऑन-बोर्ड सिस्टम और हमले विमान पर उड़ानों में कमजोरियों का फायदा उठाएं।
प्रेजेंटेंसी फर्म एन। आरन्स में एक सुरक्षा सलाहकार ह्यूगो टेसो द्वारा प्रस्तुतिकरण जर्मनी, जिसने पिछले 12 वर्षों से वाणिज्यिक पायलट लाइसेंस भी लिया है, शोधकर्ता के तीन साल के शोध का नतीजा था एवियनिक्स की सुरक्षा में।
टेसो ने दिखाया कि एडीएस-बी (स्वचालित आश्रित निगरानी-प्रसारण) में सुरक्षा सुविधाओं की अनुपस्थिति, विमान ट्रैकिंग के लिए उपयोग की जाने वाली तकनीक, और एसीएआरएस (विमान संचार पता और रिपोर्टिंग सिस्टम), एक डाटलिंक सिस्टम रेडियो या उपग्रह के माध्यम से विमान और ग्राउंड स्टेशनों के बीच संदेशों को प्रेषित करने के लिए इस्तेमाल किया जा सकता है, उड़ान प्रबंधन प्रणालियों में कमजोरियों का फायदा उठाने के लिए दुर्व्यवहार किया जा सकता है।
[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]उन्होंने असली प्रयोग नहीं किया हवाई जहाज, जो अपने खाते के मुताबिक खतरनाक और अवैध दोनों होंगे। इसके बजाय टेसो ने अलग-अलग स्थानों से एयरक्राफ्ट हार्डवेयर और सॉफ्टवेयर हासिल किए, जिसमें सिम्युलेशन टूल्स की पेशकश करने वाले विक्रेताओं से भी शामिल है जो वास्तविक विमान कोड और ईबे से उपयोग करते हैं, जहां उन्हें हनीवेल और टेलीडेन एसीएआरएस एयरक्राफ्ट प्रबंधन इकाई द्वारा निर्मित एक उड़ान प्रबंधन प्रणाली (एफएमएस) मिली।
इन उपकरणों का उपयोग करके, उन्होंने एक प्रयोगशाला स्थापित की जहां उन्होंने वर्चुअल एयरलाइंस और एक स्टेशन को विशेष रूप से तैयार किए गए ACARS संदेशों को भेजने के लिए अनुकरण किया ताकि उनके उड़ान प्रबंधन प्रणालियों में पहचाने गए भेद्यता का उपयोग किया जा सके- विशेष कंप्यूटर जो नेविगेशन, उड़ान से संबंधित उड़ानों को स्वचालित करते हैं योजना, प्रक्षेपण भविष्यवाणी, मार्गदर्शन और अधिक।
एफएमएस सीधे अन्य महत्वपूर्ण प्रणालियों जैसे नेविगेशन रिसीवर, फ्लाइट कंट्रोल, इंजन और ईंधन सिस्टम, एयरक्राफ्ट डिस्प्ले, निगरानी प्रणाली और अन्य लोगों से जुड़ा हुआ है, इसलिए समझौता करके, एक हमलावर सैद्धांतिक रूप से अतिरिक्त सिस्टम पर हमला शुरू करें। हालांकि, यह पहलू इस विशेष शोध के दायरे से बाहर था, टेसो ने कहा।
संभावित लक्ष्यों की पहचान करना और एडीएस-बी के माध्यम से उनके बारे में मूलभूत जानकारी इकट्ठा करना काफी आसान है क्योंकि एडीएस-बी डेटा एकत्र और साझा करने वाले कई स्थान ऑनलाइन हैं, जैसे कि Flightradar24.com, जिसमें फ्लाइट ट्रैकिंग के लिए मोबाइल ऐप भी हैं, टेसो ने कहा।
प्रत्येक संभावित लक्ष्य के बारे में और भी जानकारी इकट्ठा करने के लिए ACARS का उपयोग किया जा सकता है, और इस जानकारी को अन्य ओपन-सोर्स डेटा के साथ संयोजित करके, यह संभव है टेसो ने कहा कि एफएमएस के एक विशिष्ट विमान का उपयोग करने के लिए निश्चित रूप से उच्च स्तर की निश्चितता निर्धारित करने के लिए निर्धारित किया गया है।
ऐसा करने के बाद, एक हमलावर विशेष रूप से लक्षित विमान को एसीएआरएस संदेश भेज सकता है ताकि कोड में पहचाने गए भेद्यता का फायदा उठा सके इसका एफएमएस ऐसा करने के लिए, हमलावर अपने स्वयं के सॉफ़्टवेयर-परिभाषित रेडियो सिस्टम का निर्माण कर सकता था, जिसमें इस्तेमाल होने वाले एंटीना के आधार पर सीमा सीमा होगी, या वह दो मुख्य ग्राउंड सेवा प्रदाताओं में से किसी एक की प्रणाली में हैक कर सकता है और उनका उपयोग कर सकता है शोधकर्ता ने कहा कि एसीएआरएस संदेश भेजने के लिए, एक ऐसा काम जो शायद अधिक कठिन होगा।
किसी भी तरह से, वास्तविक विमान में नकली एसीएआरएस संदेश भेजना संभवत: अधिकारियों की खोज करेगा और अंततः आपको ढूंढ रहा है, शोधकर्ता ने कहा।
टेसो ने सिमॉन नामक एक पोस्ट-शोषण एजेंट बनाया जो समझौता किए गए एफएमएस पर चल सकता है और उड़ान योजना में परिवर्तन करने या दूरस्थ रूप से विभिन्न आदेशों को निष्पादित करने के लिए उपयोग किया जा सकता है। सिमॉन को विशेष रूप से x86 आर्किटेक्चर के लिए डिज़ाइन किया गया था ताकि इसका उपयोग वर्चुअल एयरप्लेन्स के खिलाफ परीक्षण प्रयोगशाला में किया जा सके और वास्तविक आर्किटेक्चर का उपयोग करने वाले वास्तविक विमान पर उड़ान प्रबंधन प्रणाली के खिलाफ नहीं किया जा सके।
शोधकर्ता ने प्लेनस्प्लोइट नामक एक एंड्रॉइड ऐप भी बनाया जो फ्लाइटराड 24 का उपयोग करके एफएमएस में कमजोरियों का शोषण करने, सिमॉन स्थापित करने और उड़ान योजना को संशोधित करने जैसे विभिन्न कार्यों को करने के लिए लक्ष्य का पता लगाने से पूरे हमले को स्वचालित कर सकता है।
जैसा कि पहले उल्लेख किया गया था, प्रयोगशाला सेटअप में आभासी विमानों के खिलाफ अनुसंधान और प्रदर्शन किए गए थे। हालांकि, एफएमएस की कमजोरियों की पहचान और एडीएस-बी और एसीएआरएस जैसी संचार प्रौद्योगिकियों में सुरक्षा की कमी असली है, टेसो ने कहा [
वास्तविक दुनिया के हमले के परिदृश्य में, पायलट को एहसास हो सकता था कि कुछ गलत है, ऑटो पायलट को निष्क्रिय करना और एनालॉग सिस्टम का उपयोग कर पुराने दिनों में विमान उड़ाना, टेसो ने कहा। हालांकि, ऑटो-पायलट के बिना उड़ान आधुनिक विमान पर तेजी से कठिन हो रही है।
टेसो ने फ्लाइट मैनेजमेंट सिस्टम में पहचान की गई कमजोरियों के बारे में कोई विशेष जानकारी नहीं दी क्योंकि उन्हें अभी तक तय नहीं किया गया है। एडीएस-बी और एसीएआरएस में प्रमाणीकरण जैसी सुरक्षा सुविधाओं की कमी कुछ ऐसा है जो शायद संबोधित करने में काफी समय लगेगी, लेकिन शोधकर्ता उम्मीद करता है कि यह तब किया जाएगा जब इन तकनीकों को अभी भी तैनात किया जा रहा है। अमेरिका में, अधिकांश विमानों को 2020 तक एडीएस-बी का उपयोग करने की उम्मीद है।
एनआरन्स इस शोध के दौरान पहचाने गए मुद्दों के बारे में पिछले कुछ हफ्तों के लिए यूरोपीय विमानन सुरक्षा एजेंसी (ईएएसए) के संपर्क में हैं, टेसो ने कहा, उन्होंने कहा कि अब तक उनकी प्रतिक्रिया से उन्हें सुखद आश्चर्य हुआ है। उन्होंने कहा, "उन्होंने मुद्दों से इंकार नहीं किया है, उन्होंने हमें सुना है और उन्होंने संसाधनों की पेशकश की है।" "वे इस शोध को वास्तविक विमान पर लेने में हमारी मदद करने की कोशिश कर रहे हैं।"
ट्विटर ओएथ फीचर का अपहरण खातों के लिए दुर्व्यवहार किया जा सकता है, शोधकर्ता का कहना है
ट्विटर एपीआई (एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस) में एक सुविधा हो सकती है विश्वसनीय सामाजिक इंजीनियरिंग हमलों को लॉन्च करने के लिए हमलावरों द्वारा दुर्व्यवहार किया गया है जो उन्हें उपयोगकर्ता खातों को अपहृत करने का एक बड़ा मौका देगा, मोबाइल एप्लिकेशन डेवलपर ने एम्स्टर्डम में बॉक्स सुरक्षा सम्मेलन में हैक में बुधवार को खुलासा किया।
डीएलएल अपहरण भेद्यता हमलों, रोकथाम और जांच
डीएलएल अपहरण क्या है? डीएलएल अपहरण को कैसे रोकें? यह पोस्ट भेद्यता और हमले मोड के बारे में बात करता है और पहचान और निष्कासन के तरीकों का सुझाव देता है।
दूरस्थ कनेक्शन के लिए विंडोज़ 8 में दूरस्थ डेस्कटॉप ऐप का उपयोग करना
Windows 8 में दूरस्थ डेस्कटॉप ऐप को दूरस्थ कनेक्शन के लिए कैसे सेट अप करें और उसका उपयोग करें, जानें।