值此2015乌云白帽子大会召开,全国白帽子聚集帝都之际,辛巴达给大家分享一个好消息:美联航(United Airlines)今年5月推出的漏洞奖励计划,刚给两个安全研究人员奖励了100万英里的里程!
美联航(UA)和国航(CA)同属星空联盟,里程可以互兑机票。能飞多少趟呢?100万英里是160万公里,举例来说,北京到深圳的CA航班需要15000公里兑换,可以飞100趟单程!以票价1500计算,价值15万人民币。
UA的漏洞奖励范围包括网站和应用,奖励分为三档,高危漏洞圈定为“远程代码执行”,奖励100万英里。中级漏洞包括“认证绕过”、“暴力破解攻击”、“可能的个人信息泄露”和“时序攻击”,奖励25万英里。低级的包括“跨站类”和“第三方漏洞”,奖励5万英里。没看错吧,跨站漏洞都能值5万英里?!难怪巴菲特不愿投资航空公司,虽然他们收入高,就是嫌他们开支太大。
作为一个非信息技术类公司,UA为啥赶时髦玩漏洞奖励呢?答案很显然,每一个投资到安全的决定背后都有血淋淋的教训,即业界所说的事件驱动,不出点安全事故,老板们才不愿意投资安全。
回到今年4月16日,美国One World Labs公司的安全研究员Chris Roberts,踏上UA的飞机发了一条Tweet:
大意是,“本大牛登机了,等我玩下某系统,把每个人的氧气面罩放下来?”
随后有人回复“哈哈,你要进监狱了!”
Chris回复:“很明显如果我这样做的话,落地我就会很快穿上橙色马甲”。
果然,大牛下飞机后就被FBI和当地警察给抓了,审问了N个小时,是UA的安全部门发现了这条tweet,向FBI报警的。在2月份FBI就约他喝过茶,他说在2011至2014期间,他通过波音和空客的机上娱乐系统入侵飞行系统10到20次,有一次向飞机发出CLB即Climb(攀升)指令,把正在巡航的飞机搞一个侧面运动。
Chris还告诉FBI,通过入侵飞机网络,他可以监控驾驶舱的网络通信。具体操作上,他使用一根改过接口的网线,将自己的笔记本电脑连接到机上座位的接口Seat Electronic Box,通过默认用户名和口令登录机上娱乐系统,使用Kali Linux虚拟机中的渗透工具入侵网络。
看来他的twitter是被监控了,似乎是由于没有逮到现行,Chris到现在都没被起诉,但是看他4天前的tweet开始闭关。
回顾一下他研究飞机安全的历史。6年前他和小伙伴看到一份公开的飞行手册,包括了不同的机型的设计图,里面描述了机上娱乐系统是如何连接到卫星电话网络,还包括操作一些客舱控制系统,这些系统最终连接到航空飞行系统。他俩从娱乐系统厂商那儿搞到demo软件搭建了一套测试环境。
在2010年,Chris在拉斯维加斯的BSides LV会议上讲了如何入侵飞机和汽车,他宣称和两大飞机制造商提过这些安全隐患但是没有得到回应。不幸的是,UA已经把他列入乘客黑名单。
最后提醒下,UA的漏洞奖励计划范围不含机上Wifi、机上娱乐系统以及航空飞行系统。大家可以尽情的测试网站和App,相比坐10小时飞机才赚1万公里,10小时能挖出N个XSS吧,投入产出比绝对高。
你的打赏,我的动力。