Boeing wehrt sich gegen Hackervorwürfe

"Nicht nur Kundendatenbanken, die im Web herumliegen, sondern auch 787 Flugzeug-Code, Sicherheitsprobleme und alles andere", titelte 'The Register' einen Text über Boeing.
 
Ausgangspunkt des Titels war eine Präsentation an der Black-Hat-Konferenz von Ruben Santamarta, Principal Security Consultant bei den Pen-Testern von IOActive. Der Mann ist ein Veteran im Hacken von Flugzeug-Software, schon 2014 hatte er einen Case vorgestellt. Grundlage des 2019er Referates waren offenbar Code-Teile der sowieso kritisierten Boeing 787, welche Santamarta im Herbst 2018 durch eine simple Google-Suche entdeckte. Sie lagen nach seinen Angaben auf nicht gesicherten Servern des Flugzeugbauers Boeing.
 
Santamarta präzisierte, dass die Boeing-787-IT auf drei Netzwerken beruhe: Das erste sei für simple Dinge wie das Bord-Entertainment, das zweite für die Flugzeug-Crew und das dritte für die vitalen Systeme wie die Sensoren und ähnliches.
Der offen herumliegende Code sei für das zweite Netzwerk, aber damit könne man sich in die zwei anderen hacken und womöglich ein Flugzeug unter seine Kontrolle bringen.
 
Aus naheliegenden Gründen testete Santamarta diese These nicht selbständig an einem richtigen Flugzeug. Zudem wollte Boeing ihm auch keines anbieten, um den Vorwurf unabhängig zu verifizieren, so der Security-Berater.
 
Boeing, stark unter Druck wegen der IT des gegroundeten "737 Max"-Flugzeug und in der Kritik an der 787-Produktion (laut 'Aerotelegraph' keine Qualitätskontrolle, fehlende Teile und lose Muttern), wehrt sich gegen die Vorwürfe. "Boeing leugnet schlichtweg, dass ein solcher Angriff möglich ist, und weist seine Behauptung zurück, er habe einen möglichen Weg entdeckt zu haben, um einen Hack durchzuziehen", so 'Wired'. Boeing habe dies an einer Maschine selbst durchexerziert. Ausserdem gebe es Sicherheitsmassnahmen, welche die Ausführung von Befehlen verhindern würden.
 
Gegenüber der Zeitung sagte IT-Professor Stefan Savage von der University of California in San Diego allerdings auch, es sei bedenklich, dass es die gefundenen Schwachstellen gebe. Zudem sei es keine gute Argumentation, eine Schwachstelle unproblematisch zu nennen, weil sie aufgrund anderer Schutzmassnahmen nicht ausgenutzt werden könne.
 
Der Zeitung 'The Register' sagten anonyme Boeing-Entwickler, beim gefundenen Code handle es sich unfertige Arbeiten aus der Software-Entwicklungsabteilung und von Partnern. Dabei handelt es sich offenbar um Honeywell. Auch diese Firma bestreitet die Vorwürfe Santamartas.
 
Insgesamt zeigen sich die Boeing-Zuständigen "sehr enttäuscht" von Santamarta und IOActive, denn die Security-Forscher würden "verifizierte Resultate und Sicherheitsmassnahmen" nicht zur Kenntnis nehmen.
 
Während Boeing bis anhin dazu keine aussagekräftigen Dokumente publiziert hat, sind Details der Erkenntnisse von IOActive verfügbar: Die Präsentation (PDF) und ein White Paper (PDF) zum Vorgehen. (mag)