Pen Test Partners’tan Boeing 747-400 ile İlgili Değişik Keşif

Pen Test Partners, terk edilmiş uçaklardan bir tanesi üzerinde yaptığı araştırmalardan sonra Boeing 747-400'lerde kritik sefer data tabanlarını yüklemek için disketler kullanıldığını bilgi güvenlik topluluğuna açıkladı.

Bu bilgi ise PTP'den Alex Lomas'ın DEF CON görüntü görüşmesi sırasında ortaya çıktı. Olağanda bilgi güvenlik araştırmacılarının havayolu şirketleriyle görüşmesi çok mümkün değilken Birleşik Krallık merkezli havayolu şirketinin B744 filosunu ıskartaya çıkarması Pen Test Partners için eşsiz bir fırsat doğmasını sağladı.

Boeing 747-400'e sızma testi

Üstteki görüntüden da izleyebileceğiniz uçağın içerisindeyken kayıt almaya başlayan Lomas, uçakların hayli değerli olduğunu, havayolu şirketlerinin ve üreticilerin test yapanların ne evrede bırakacağını bilmediği için sızma (penetrasyon) testine müsaade vermediğini söyledi.

Uçağın içerisindeki gezintisine devam eden Lomas, seyir bilgi tabanı yükleyicisine gerçek yöneldi. “Bu data tabanı her 28 günde bir güncellenmek zorundaydı“ diyen Lomas, bir mühendis için ne kadar zevksiz bir iş olduğunu görebilirsiniz dedi.

DEF CON'un sanal iştirakçileri için gerçekleştirilen soru yanıt kısmında Pen Test Partners yöneticisi Ken Munro, Lomas'a çeşitli sorular yöneltti. Herkesin merak ettiği soru ise uçaktaki cümbüş sistemlerini (IFE) bir hücum vektörü olarak kullanarak bir yolcu uçağının hacklenip hacklenemeyeceğiydi.

Lomas, “Özellikle baktığımız yerlerde, IFE üzere yolcu tesir alanı sistemleri ve denetim tesir alanı ortasındaki rastgele çift taraflı bağlantıda bir şey bulamadık. İkisi ortasında bulunan, bilgi servisleri alanının DMZ'si yer alıyor. Bence iki katmanlı ayrım ortasında atlamak tehlikeli olurdu“ tabirlerini kullandı.