船舶及集裝箱的載運規劃其實是在沒有安全消息系統的情況下創建的,不過在船只與航運公司,碼頭以及港務局之間卻會有一些冗長的電子信息通信。安全公司Pen Test Partners的安全顧問Ken Munro正在研究此類問題,因為這種缺陷很容易被一些惡意人員利用。
大型船只每天都會使用名為BAPLIE的系統來裝卸成千上萬的集裝箱,有時一些集裝箱則重達20萬噸。這個系統會幫助港務局安排每個集裝箱所應該放置的確切位置,且船舶生產商也會定期更新它。不過如果客戶沒有使用最新的版本,一些攻擊者就會篡改發送給海關的信息來掩蓋集裝箱的真實裝載物和重量。
執法機關無法完全檢查那些來自(被標記為)高風險國家的船只的貨物,所以如果黑客篡改了集裝箱相關信息,檢查人員將無從知曉。
一篇官方的博客中講到,這種威脅是真實存在的,且任何人都可以進行攻擊。安全消息系統的漏洞會影響船舶的日常運作,若出現問題,那么本應在24-48小時內完成的裝卸工作,會因人工清算而拖延數周。此外,用于將重型集裝箱放置在底部以確保重心保持較低并維持平衡的裝載規劃軟件也會被利用,從而導致船只平衡受到影響。
如果黑客通過篡改數據操縱了裝載規劃,讓起重機將重集裝箱放置在船的頂部或者兩邊而讓船失去平衡,結果會怎樣呢?雖然輸送泵可以解決一些失衡問題,但其對于突如其來的快速失衡卻無能為力。
Pen Test Partners已經警告過使用USB設備交換船舶與碼頭之間的數據這種做法,因為安裝了裝載規劃軟件的計算機同時也會被用于瀏覽網頁以及發送電子郵件,這樣容易引入惡意軟件。研究人員聲稱,船舶的裝載規劃與各港口之間的互通性至關重要,所以裝載規劃應該被安全地發送給港口。
Munro稱:“為了方便=使用USB設備=易受攻擊,鑒于攻擊方法已經成熟,其所帶來的經濟損失,環境破壞甚至人員傷亡是不堪設想的。”
由于已經有證據表明內部人員偷竊集裝箱內高價物品事件時有發生,Pen Test Partners已經敦促相關運營者,碼頭以及港口徹底審查他們的信息系統,以減少數據篡改的威脅。
京公網安備 11010502049343號