@wmenschmeier,
ein WLAN bzw. LAN basiertes System kann man aber auch dadurch stören, in dem man zuviel Nachrichten erzeugt bzw. es physisch zerstöt.
Fliegt der Airbus noch, wenn dass LAN sich mit unsinnigen Nachrichten zu 100% beschäftigen muss?

Das ist genau das was ich versucht habe zu erklären, diese 100% Überlastung geht nur in einem Netzwerk, was alles erlaubt, was nicht verboten ist. Im Airbus ist aber das umgekehrte Prinzip, nämlich alles verboten was nicht erlaubt ist, implementiert. damit kann ich das Netzwerk nicht mit 100% Überlasten, weil die Computer ihre Nachrichten nur an bestimmte Computer zu bestimmten Zeiten schicken können. Selbst wenn man es schafft einen oder mehrer Computer zum Dauersenden zu programmieren, dann blockieren die Switche in dem Airbus Netzwerk diese Nachrichten, weil sie entweder nicht im Sender-Emfänger Paar stehen, zu falschen Zeite oder halt zu oft kommen.

Wenn Computer A nur mit Computer B aber nicht mit Computer C reden darf, weil er es im Betrieb nicht muss, dann unterbindet der Switch jegliche Art der Kommunikation zwischen den A und C und zwar immer. Egal welche Software auf A ist und wie oft der sendet. Diese Nachrichten würden einfach nciht durchgestellt und somit gelöscht.

Im Internet funktioniert das halt genau umgekehrt, da kann man beliebig viele Computer umprogrammieren um einen bestimmten COmputer zu bombadieren.

Das Airbus Netzwerk würde funktionieren, denn es schaut zunächst ob die Computer zu der entsprechenden Zeit mit einander reden dürfen, dann ob diese generell mit sprechen dürfen und zuletzt ob die übersendete Information erlaubt ist. Datenmüll zu richtiger Zeit und im Richtigen Intervall würde somit auch nicht durchkommen. es beschäftigt sich quasi nicht mit den Nachrichten. Der erste Switch nach dem Sender prüft und löscht.
Dazu gibt es zwei Layer an Switchen, jede Information wird über beide Layer verschickt. die zuerst ankommende wird verwertet die zweite gelöscht. die Layer haben dabei keine Verbindung untereinander. Desweiteren werden lebenswichtige Daten noch parallel über ARINC Bus Systeme und LWL ausgetauscht, das allein reicht zum sicheren Fliegen, allerdings mit einigen Einschränkungen in der Funktionsvielfalt.

@EricM:

Klar kann man vom Multimedia System etwas anderes steuern, wenn es eine Verbindung gibt. Die gibt es im Airbus aber nicht, man muss irgendwie ja die Daten übertragen, aber wenn da nichts zum Übertragen ist? Die Flugcomputer haben keine WLAN Schnittstelle. Räumlich kommt man auch nicht an sie heran. Die Räume oder Schränke in denen sie sitzen geben eine ECAM Meldung, wenn man sie öffnet, dann kann der Pilot mit einem Knopfdruck das Netzwerksystem isolieren. Er schaltet damit die Wartungsnetzwerke, IFE Netzwerke ab, die OWD aus usw...

Dieser Beitrag wurde am 31.05.2017 12:35 Uhr bearbeitet.

Also so ganz schlau werde ich aus den bisherigen Posts nicht.

Daher die ganz klare Frage: Gibt es eine physische Verbindung (elektrisch, LWL, was auch immer) zwischen den Flugsteuerungssystemen und dem Passagier-/Entertainment-Netzwerk?

Falls ja:

a) Was ist denn der Nutzen die beiden Netzwerksysteme miteinander zu verbinden?

b) Ich glaube dir [menschmeier) ja schon, dass da Switches eingebaut sind, die Flooding (und ähnlichen bösartigen Datenverkehr) verhindern.

Aber es gäbe dann ja die prinzipielle Möglichkeit, den Switch zu hacken. Irgend ein ungültiges Datenpaket, was eine Umprogrammierung des Switches ermöglicht (die berühmten Zero Date Exploits); dann lässt er bösartigen Datenverkehr durch und ich bin doch im flugrelevanten Netzwerk, so dass ich jetzt im zweiten Schritt flugrelevante Rechner hacken kann; dass ich dann per Flooding stören kann; oder ich veranlasse den gehackten Switch selbst zu Flooding. Und/oder ich blockiere gurartigen Datentraffic durch die Switch.

Ich behaupte nicht, dass das wahrscheinlich ist. Aber unmöglich halt auch nicht.

@EricM:

Klar kann man vom Multimedia System etwas anderes steuern, wenn es eine Verbindung gibt. Die gibt es im Airbus aber nicht, man muss irgendwie ja die Daten übertragen, aber wenn da nichts zum Übertragen ist?

Die Verbindung zwischen den Netzwerk-Domänen ist physisch vorhanden und (im A380) mit einer Hardware-basierten Firewall (die hier schon genannte "Diode") abgesichert. Die Firewall _soll_ verhindern, dass Daten aus der Kabine in die sicherheitsrelevanten Domänen des bordeigenen Netzwerks gelangen.
So lange sie das zu 100% tut und auch alle Datenraten gemäß Vorgaben limitiert ist alles OK.

Eine Firewall ist aber nun mal deutlich komplexer als eine "Doide", ein einfaches, passives elektronisches Bauteil und vermutlich gibt es auch in dem im A380 verbauten Gerät Bugs in der Implementierung.
Auch die Entwickler des o.g. Chrysler waren der Meinung, der CAN Bus wäre vom Entertainment System aus nicht zu erreichen, da keine direkte Verbindung bestand.

Ob diese vermutlich vorhandenen Schwachstellen jetzt so ausnutzbar sind dass ein reales Angriffsszenario durchführbar wäre, ist aber wie oben geschrieben, eher unwahrscheinlich.
Aber eine Verbindung gibt es.

Die Verbindung zwischen den Netzwerk-Domänen ist physisch vorhanden und (im A380) mit einer Hardware-basierten Firewall (die hier schon genannte "Diode") abgesichert. Die Firewall _soll_ verhindern, dass Daten aus der Kabine in die sicherheitsrelevanten Domänen des bordeigenen Netzwerks gelangen.

Und warum gibt es diese Verbindung überhaupt? Welche Vorteile hat das?

Is it present so that you can rock your plane with AC/DC rhythms form the entertainment system? (Tut mir leid - das geht leider nur auf Englisch so gut auszudrücken)

Daten für die Airshow?

Eine Datendiode ist keine Firewall. Es wird da nichts gefiltert, um eine Kommunikation zu verhindern, da sie rein physikalisch möglich wäre. Sie ist bei einer Datendiode schlichtweg technisch unmöglich. Man muss sich Datendioden wie zwei server vorstellen, zwischen denen ein einzelner Lichtleiter (Kupfer und elektrisch is böse) geschaltet ist, der nur auf einer Seite eine LED hat und auf der anderen Seite eine Photodiode. Auf der einen Seite existiert nur hardware zum Senden, aber nichts zum Empfangen, auf der anderen Seite existiert nur die Hardware zum Empfangen, aber nichts zum Senden.

Beim Jeep Hack wurde das Airgap übrigens auch nicht überwunden. Es gab etwas, das sowohl im Entertainment-Netzwerk als auch im Canbus war .. elektsich ... und darüber konnte mittels eine modifizierten Firmware sprechen. Nur ... die one-way-ness der Datendiode auf Lichtleiterbasis kann man nicht wegpatchen.

Eine Datendiode ist keine Firewall.

OK, danke für die Klarstellung.
Ich hatte die Airbus Unterlagen falsch verstanden, da zwischen der "Avionics world" und der "open world" erst mal "nur" eine Firewall dokumentiert ist.
Allerdings ist im NSS die Cabin Domain nochmal über die geannnte Diode abgetrennt.

Im Falle einer galvanisch getrennten "Data diode" ist in der Tat überhaupt kein Zugriff möglich.

Für einen erfolgreichen Angriffsversuch benötigt man also mindestens Zugriff auf eins der ans NSS angeschlossenen HMI Systeme.
Vom Kabinenbereich mit eigenen Devices ist ein solcher Versuch zumindest im A380 nicht möglich.

Beim Jeep Hack wurde das Airgap übrigens auch nicht überwunden. Es gab etwas, das sowohl im Entertainment-Netzwerk als auch im Canbus war ..

richtig, der V850 controller.
elektsich ... und darüber konnte mittels eine modifizierten Firmware sprechen. Nur ... die one-way-ness der Datendiode auf Lichtleiterbasis kann man nicht wegpatchen.

Habe ich jetzt verstanden. Danke für die Klärung.

Alles richtig was ihr so schreibt. Mit der A380 und den darauf gefolgten modernen Flugzeugen würde ich mir da soweit auch keine Sorgen machen.

Aber was ist mit den älteren Flugzeugen die über ein Retrofit in die vernetzte Neuzeit gebracht werden?

Nehmen wir als Beispiel mal eine der ersten A330 aus der ersten Auslieferung in den 90er. Wird bei einem solchen Retrofit auch die ganze Systemstruktur und Verkabelung angepasst?
Ich meine auch eine solche physikalischen Firewall wie beim A380.

@EricM:

Klar kann man vom Multimedia System etwas anderes steuern, wenn es eine Verbindung gibt. Die gibt es im Airbus aber nicht, man muss irgendwie ja die Daten übertragen, aber wenn da nichts zum Übertragen ist?

Die Verbindung zwischen den Netzwerk-Domänen ist physisch vorhanden und (im A380) mit einer Hardware-basierten Firewall (die hier schon genannte "Diode") abgesichert. Die Firewall _soll_ verhindern, dass Daten aus der Kabine in die sicherheitsrelevanten Domänen des bordeigenen Netzwerks gelangen.
So lange sie das zu 100% tut und auch alle Datenraten gemäß Vorgaben limitiert ist alles OK.



Wenn sie das so detailiert haben wollen, dann bitte.

Die Flugcomputer sitzen in der Avionics World, wie Airbus das nennt dort sprechen sind über das AFDX mit den genannten Kummunikationsrestriktionen, was Zeit, Anzahl, usw wie oben beschrieben. Sämtliche Wartungsanwendungen sitzen in der Open World, diese ist durch die SCI von der Avionics Domain getrennt (die die im Flug abgeschaltet wird.) Die Open World ist in drei Domains unterteilt, zum einen die Avionics Domain mit den Servern für Wartungsanwendungen inkl der Softwareuploadapplikation. Dann kommt die Flight Operations Domain, mit eigenen Servern für Performance Berechnung Flugkarten usw, dort sind auch die Anschlüsse für die EFB's, diese beiden Domains sind durch die Diode von einander getrennt. die einen Datenfluss von der Avionics Domain in die Flight Ops Domain zu lässt, aber nicht umgekehrt. Die letzte Domain ist die Cabin Domain. Diese erhält ihre Daten vom Server der Flight Operations Domain. In dieser Flight Operations Domain ist unter anderem das IFE und das OMTS verbaut.

Wollte man nun vom IFE in die Avionics World einbrechen, müsste man im Flug, erstmal das IFE umprogrammieren, da es keine Daten an die Server der Flight Operations Domain senden kann, dies verhindert zuerst mal die Programmierung des IFE selber. Des weiteren muss man de Hauptserver der cabin Domain umprogrammieren/überwinden, denn durch den läuft sämtliche Kommunikation in der Cabin Domain, auch der ist so programmiert, dass dieser zunächst mal keine Daten an die Flight Operations Domain Server senden kann.
Da der Angreifer das nun geschafft hat, programmiert er den Server der Flight Operations Domain um, sodass dieser anfängt Daten an die Diode zu schicken und ändert die Durchflussrichtung dieser.

Ab jetzt wrd es dann allerdings schwierig, der Angreifer muss nun in der Avionics Domain die SCI zum Laufen bringen, denn diese ist im Flug ja elektrisch abgeschaltet.

Wenn er jetzt also die Relaisschaltung so beeinflusst hat, dass die SCI mit ihren beiden Betriebsspannungen versorgt wird und denkt sie wäre am Boden mit abgeschalteten Triebwerken, dann kann er die Software auf den Flugrechnern in der Avionics World ändern/manipulieren oder sonst was, natürlich nachdem er die erlaubte Kommunikationswege und INtervalle in den Switchen der Avionics World für seine Zwecke angepasst hat, denn die Datenverschlüsselung ist ihm ja bekannt und seine Software wird ja mit den entsprechenden Programmen zertifiziert, codiert und gepackt sein um sie der Prüfung der SCI standhaft zu machen.

das macht in Summe 6 zu überwindenen Computer, die nebenbei erwähnt in unterschiedlichen Programmiersprachen geschrieben wurden, 1 Optoelektronische Datendiode, eine komplexe Relaislogikschaltung und eine Unmenge an Softwareverschlüsselung um da ran zu kommen.

Ganz davon zu schweigen, dass jeder Computer in der Avionics World eine leicht abweichende Softwareuploadroutine hat, die meisten fordern eine bestimmte Reihenfolge inkl diverser Neustarts über Resetbreaker oder Sicherungen im Cockpit oder den Schaltschränken, zu bestimmten Zeitpunkten, sonst akzeptieren diese die Software gar nicht, auch wenn sie vollkommen korrekt ist.

Wer dazu ein paar Bilder und Schematiken braucht:
 https://de.scribd.com/doc/226100920/A380-LEVEL-I-ATA-46-Network-Server-System-Onboard-Information

zu den alten Flugzeugen:

Die IMA "Integrated Modular Avionic" wurde ja entwickelt um mehr Funktionen intigrieren zu können, die alten Modelle haben für nahezu jede Funktion einen recht primitiven Rechner, diese haben eine gewisse Anzahl Dateneingänge und Datenausgänge, einen Programmiereingang usw. Jede Information/Funktion wird über eine Datenleitung gesendet, das limitiert natürlich die Anzahl der Funktionen darum die IMA. Da kann ich über die reinen Datenleitungen keine Software hineinbekommen, die können mit den Informationen da schlicht nichts anfangen. Sie erwarten an dem Eingang bsp ein ARINC Wort und das mit einem gewissen Datentyp, alles andere ist für sie in diesem Eingang schlicht unverwertbar. Und der Programmiereingang ist mit einem entsprechenden Gerät im Cockpit verbunden. oder gar nur am Gerät selber zu finden. Ausserdem akzeptieren auch diese Geräte keine Software im Fluge, sie schalten die Eingänge intern ab, das war schon immer Vorgabe der Behörden. Maximal könnte man die Eingangsdaten manipulieren, dazu müsste man aber direkt an die entsprechende BUS Leitungen ran. Und das sind bei den wichtigen Funktionen wie Flugsteuerung und Triebwerkssteuerung mindestens drei Leitungen pro Funktion/Befehl und die sind räumlich getrennt im Flugzeug eingebaut. Manipuliert man nur eines von drei Signalen passiert überhaupt nichts. Bei der Flugsteuerung hat jeder Flugsteuerungsrechner (davon gibt es 2x 3 Stück in der A330) jede Ein/Ausgangsleitung doppelt. Das ergibt dann bsp für die Triebwerksansteuerung 12 (2x2x3) Leitungen nur um den Schub zu erhöhen oder zu verringern. Manipuliert man nun eine der Leitungen, erkennen die anderen Computer, die ja noch beide Leitungen haben und damit das qualitativ bessere bzw verlässlichere Signal dies und entziehen dem Manipulierten Computer die Kontrolle. Beim A320 sind es 3+2+2 Computer für die Flugsteuerung.

An die Navigationscomputer kommt man räumlich schon nicht heran, denn der Verkabelung sind im Bereichs des Cockpits bzw des vorderen Galleyblocks verbaut, einzig die geschirmten Antennenleitungen für VOR und GPS verlaufen redundant udn räumlich getrennt im Bereich des Flußbodens teils auch noch zusätzlich Frachraumfussboden und der Decke der Kabine.

Bei alten Flugzeugen schützt somit die Primitivität und die räumliche Trennung bzw die fehlende Vernetzung und nicht vorhanden Integration/Konzentration von Funktionen vor solchen Angriffen.

Dieser Beitrag wurde am 01.06.2017 08:58 Uhr bearbeitet.

@EricM:

Klar kann man vom Multimedia System etwas anderes steuern, wenn es eine Verbindung gibt. Die gibt es im Airbus aber nicht, man muss irgendwie ja die Daten übertragen, aber wenn da nichts zum Übertragen ist?

Die Verbindung zwischen den Netzwerk-Domänen ist physisch vorhanden und (im A380) mit einer Hardware-basierten Firewall (die hier schon genannte "Diode") abgesichert. Die Firewall _soll_ verhindern, dass Daten aus der Kabine in die sicherheitsrelevanten Domänen des bordeigenen Netzwerks gelangen.
So lange sie das zu 100% tut und auch alle Datenraten gemäß Vorgaben limitiert ist alles OK.



Wenn sie das so detailiert haben wollen, dann bitte.


Ich hatte mich weiter oben bereits korrigiert, aber vielen Dank nochmal für den ausführlichen und interssanten Post.

@ menschmeier ... auch von mir vielen Dank für den ausführlichen und erklärenden Post. Respekt!

@menschmeier:
Auch von mir ein Dankeschön für die ausführlichen Erläuterungen.