在航空安全界看来,联邦调查局和联合航空公司的举动有些反应过度。不过,根据联邦调查局近日公布的口供书,罗伯茨承认自己曾经在飞机飞行中侵入过系统,使飞机稍稍地偏移了航程。这一消息立刻让公众感到了深深的不安,一位专业的安全研究人员怎么能在空中就进行一场未授权的飞机网络安全测试呢?
也有一些人对联邦调查局公布的信息提出了质疑,他们坚持称,事实如果不是联邦调查局误解了罗伯茨,就是罗伯茨编造了一个谎言。波音公司和一些独立航空专家指出,联邦调查局的口供书所描述的情形在技术上是不可能的。波音公司在声明中称:“尽管这些系统会接收(飞机)位置数据,并且具有通讯连接,但设计上会将它们与飞机上具有关键和必要功能的其他系统隔离开。”
这一声明有些自相矛盾的地方。航空电子设备是否通过通讯系统与娱乐网络连接,还是完全隔离?如果有连接,那波音公司怎么能肯定黑客不会从娱乐系统侵入到电子设备上,进而操纵飞机呢?毕竟,美国政府问责局(GAO)于4月发布的报告表达了对此问题的担忧,而在美国联邦航空管理局(FAA)2008 发给波音公司的文件中也了这个问题。
联邦调查局的调查
根据口供书,罗伯茨称自己能侵入飞机娱乐系统,并能接入推力管理计算机(Thrust Management Computer,TMC)。TMC与自动驾驶仪一起工作,能计算不同条件下发动机应具备的动力情况。
口供书中还指出,罗伯茨能够发布一个“爬升指令”,从而导致飞机的一个发动机开始向上爬升,引起飞机在侧面的移动。许多评论者认为飞机不大可能 做“侧面飞行”,但根据FAA一位前调查员David Soucie的说法,由于发动机推力改变,飞机是有可能偏移预定航线的。
如果一台发动机推力增加,另一台没有,就可能造成扭转,使飞机变得不平衡。但是,如果飞机具有补偿这种现象的设计,那即使你关掉一台发动机,让另一台发动机 全力运行,飞机也不会发生侧翻。在自动驾驶的情况下——通常是在巡航高度——电脑会感知发动机推力的变化并做出修正,使飞机保持在航线上。如果自动驾驶系 统关闭,发动机的一次“突进”就会导致机翼的下沉,从而轻微地拖动飞机。David Soucie说:“你必须真正地改变节流阀,乘客会真切地感受到这一点,才能将飞机拖出航线。”
不过,通过乘客座椅来发出命令改变发动机的推力就是另一回事了。David Soucie与一些人都同意波音公司的观点,即这样做是不可能的。与波音公司不同,他们提出了更加清楚的解释。
Peter Lemme曾 经是波音公司推力管理系统的工程师,他宣称,推力管理系统提供了控制发动机推力的自动节流阀功能,而且不允许发动机的节流阀独自进行工作。“自动节流阀要 使发动机一起工作,它不会使发动机分开,”他说,“唯一的指令是使它们一起工作,而不是将它们分开。”按这一说法,罗伯茨不可能发出使单独一个发动机“突 进”的指令。
唯一能改变单独发动机推力的方法是,侵入系统内部,改写控制节流阀的程序。但是,你不能仅仅改写一个程序,系统中有许多联锁来确保程序不会改变 飞行。而且,如果自动节流阀出现了超常规的现象,飞行员会迅速进行手动操作。“飞行员会控制节流阀,他们的手会胜出,”Peter Lemme说,“这些开关会使电脑失去控制飞行的能力。”
那么,既然罗伯茨无法改变发动机的推力,那他是否能侵入航空电子系统,做一些其他事情呢?David Soucie和Peter Lemme的答案都是不行。
飞行娱乐系统
罗伯茨供称,他是通过飞行娱乐系统连接到推力管理系统的。具体而言,他是从飞行娱乐系统的两个模型找到了突破口,这两个模型分别由松下公司和法 国泰雷斯(Thales)公司制造。在至少15次飞行中,罗伯茨通过座位下方的“座位电子箱”,用物理方法直接连入飞行娱乐系统。他“摇晃并挤压那个箱 子”,取下盖子,然后用改装的Cat6以太网线缆将箱子与笔记本电脑连接起来。在至少一次飞行中,他利用默认用户名和密码进入了飞行娱乐系统,然后侵入推 力管理系统。
通过座椅背后、扶手或天花板上的显示器,飞行娱乐系统可以为乘客提供声音和视频娱乐。该系统还能提供动画地图,显示飞行路线以及飞机的速度和实时航程。航空电子设备与娱乐系统之间确实存在连接,但程序中会有中止警示。
航空专家称,这两个系统之间只允许单向的数据通讯。通过一个ARINC 429数据总线,信息从航空电子系统传输到飞行娱乐系统中,包括飞机的经度、纬度和速度。飞行娱乐系统利用这些信息生成动画地图。
ARINC 429数据总线只允许数据从电子设备输出到飞行娱乐系统,不能反过来。如果要反馈回来的话,就需要第二个输入总线。“我无法想象为什么会有类似这样的界面。如果它存在,那就是我没听说过。”Peter Lemme说道。
这看起来正是波音公司在声明中所解释的,尽管飞行系统“接收位置数据并具有与(其他系统)的通讯连接”,但它们与那些具有关键功能的系统是隔离 的。不过,也有媒体找到了一份报告,显示波音公司的777客机采用的是ARINC 629数据总线,而这种产品的设计是可以双向通讯的。
不 过,我们并不清楚这种双向通讯是否用在了那些关键的航空电子系统中,抑或是用在电子设备与非关键系统,如飞行娱乐系统之间。波音公司还没有对此作出回应。 也有专家认为这并没有什么关系。即使数据从飞行娱乐系统传输回到航空电子系统,后者也会知道不能接受这些数据,因为预先编码的规则会将这些数据识别为不可 信任的,并终止传输。
本案中最大的问题在于,航空电子系统中这些严格的程序编码是否能准确地拒绝通讯。Peter Lemme称,航空电子系统的设计遵循严格的标准,并且经过大量的代码检查和测试,以确保关键的系统不会收到反常的信息。
Peter Lemme接着说道,目前有些飞机可能会在ARINC 429数据总线上使用以太网连接电子系统和飞行娱乐系统,但根据它们的设计,二者之间存在一个环节,能够确保信息以单向的形式传输。在被问到这一问题时, 罗伯茨拒绝回答,但他指出,航空公司电子工程委员会飞行器数据网络工作组的主席Jean-Paul Moreaux曾在2004年左右做了一个PowerPoint文件,其中讨论了将飞机上的ARINC 429转为以太网的提议。对此Peter Lemme称,尽管有些飞机在航空电子系统中使用了以太网,但它们使用的是航空全双工交换式以太网(ADFX)。这是一种更加安全的数据网络,专利为空中 客车公司拥有,目前只在航空电子系统的部分关键部件之间使用,并没有用在飞行娱乐系统与其他系统之间。
卫星通讯系统
在一次采访中,罗伯茨称他已经找到了从卫星通讯系统(SATCOM)侵入飞行娱乐系统和客舱管理系统的突破口。在某个客舱系统中,他探索了如何 控制乘客氧气面罩的展开,并宣称获得了这种能力。他还认为,通过客舱管理系统侵入航空电子系统是可能的,尽管他并未证明这一点。
对此航空专家Peter Lemme认为,罗伯茨并没有这样的能力。卫星通讯系统通常设置在飞机背部的天花板内,通过线缆与航空电子系统连接。有关飞机的纬度、经度和速度等信息借 助一个ARINC 429数据总线——与传输到飞行娱乐系统的不同——由航空电子系统传输到卫星通讯系统。利用这些数据,卫星通讯系统可以调整飞机顶上的天线,将无线电信号 发送给距离最近的卫星。一家卫星通讯公司的前拥有者,同时也曾长期担任私人飞机驾驶员的Michael Exner同意Peter Lemme的观点,认为这种数据传输只能是单向的。在上个世纪70年代到80年代晚期,Michael Exner的公司曾与Inmarsat公司展开过竞争。
在航空电子系统与卫星通讯系统之间,再到从ACARS管理系统向地面来回发送信息,还存在着一条独立的数据连接。这一界面是双向的,允许信息传入和传出飞机。此外,卫星通讯系统也会将乘客的通讯信息传到地面,如信用卡交易、网络连接和电子邮件发送等。
Peter Lemme称, 航空电子系统与卫星通讯系统之间,以及飞行娱乐系统与卫星通讯系统之间的所有通讯,都是通过独立的、分开的无线电频道完成的。他指出:“我们有一些专门面 向客舱的无线电频道,也有一些面向驾驶员,这些都是分开的,不会交叉。”因此,罗伯茨关于卫星通讯系统的说法并不站得住脚。
说大话的人?
以上的这些论述,似乎表明罗伯茨没有任何可能侵入飞机的推力控制系统并操纵飞机,无论是通过飞行娱乐系统,还是卫星通讯系统或其他方式。那么,要怎么解释联邦调查局的这份口供书呢?
罗伯茨本人称,联邦调查局对他的陈述进行了断章取义。他和特勤人员进行了大量谈话,但口供书中只摘取了一小部分。5月初时,Michael Exner曾经与罗伯茨进行了一次会面,他对罗伯茨的印象是“他可能确实做到了一些他自己宣称的事情,但只是在模拟的情况下,并不是在真实的飞机上。”
不管怎么说,罗伯茨依然坚称,他所检查的飞机十分容易入侵,而波音公司也坚称至少自己的航空电子系统不会被黑。除非罗伯茨能确定地指出他所发现的突破口,并解释怎么侵入航空电子系统,我们才能获得确切的答案。除了保证网络的安全性,波音公司或许还可以拿出更有说服力的证据来,但他们目前还没有这么做。
无论罗伯茨是否侵入了飞机电脑系统,有一件事是确定的。Peter Lemme说:“这种乘客连接到一些本不应该连接的系统的行为,我们必须得说,这是不对的。这与某个人拿着锤子开始敲打飞机机身一样恶劣。这是明显的犯罪行为,而不是一次随意的举动。