您现在的位置:民航资源网>>民航专业文章

媒体老师,航空公司没有那么脆弱

来源:民航资源网 作者: 李瀚明 2021-08-17 17:20:26

专业分类民航IT

  

  今天早上例行看本地新闻,发现一则新闻:“买不到机票回国找黑客攻击航空公司”。好家伙,哪家航空公司咁黑面被人黑咗?

  翻开来一看,这稿子真是写得非常离谱,行文把这家航空公司和中国民航的信息安全能力黑得一塌糊涂,搞得像是这家公司的IT系统是纸糊的一样。作为一名在海外天天和航司的计算机系统打交道的人,有必要帮这家可怜的航空公司站出来说说话了。

  #充满疑窦的新闻稿

  这篇稿子在不同媒体有多个版本,但最初的来源有三个,都是本地媒体:

  1.广州日报(https://news.dayoo.com/guangzhou/202108/16/139995_54020982.htm,“当地疫情非常严重!”自己发烧女友怀孕,17岁少年买不到回国机票竟…法院判了)

  2.羊城晚报(http://news.ycwb.com/2021-08/16/content_40208186.htm,后修改为http://news.ycwb.com/2021-08/17/content_40208873.htm)

  3.南方都市报(https://m.mp.oeeee.com/a/BAAFRD000020210816567103.html)

  这三个版本的共同特点是对于被告人的描述非常离谱,读来令人哭笑不得:

  *三家媒体同时提及“本案中,根据小陈的供述,其上完小学三年级后便辍学打工,自15岁起自学数字货币开发、大数据、区块链技术、人工智能,本是一名努力上进的青少年,但却因为图一时之快“泄愤”,触犯法律,耽误大好前程。法庭上,小陈有悔罪态度,怪自己年幼无知。”,南方都市报没有提及“上完小学三年级后便辍学打工”一句,其它大体相同。

  *广州日报提及“落网后,小陈声称,当时人在国外,疫情非常严重,自己年纪小又发烧,害怕被感染。加之女朋友怀孕,压力较大,因此特别想回国。在购买机票失败后,情绪低落,心情焦虑,一时冲动,才充值购买境外网站攻击套餐,没有想到后果。对于自己的行为,他感到非常后悔!如果能与航空公司达成和解,愿意继续赔偿。”

  两者综合可以发现,这位小陈同学简直是举世罕见:

  1.小学三年级辍学打工;

  2.15岁自学数字货币开发、大数据、区块链、人工智能;

  3.女朋友怀孕;

  笔者知道这三点同时达到有多难。与其相信这位小陈同学天赋异禀举世罕见,笔者更倾向于相信要么这位小陈同学对警察和法官以瞎扯一通的形式做了伪证,要么媒体出于某种目的对他的信息添油加醋了。

  #被黑的范围有那么大吗?

  同时,受害情况的供述也是疑点丛生:“据介绍,此次黑客入侵,造成某航空公司对外服务网络全部瘫痪,包括客票业务、微信直播平台销售、机场旅客服务、飞行、运控等系统无法正常运作,导致为5000余万用户提供服务的客票等计算机系统不能正常运行达4小时,给某航空公司造成了巨大经济损失与负面网络舆论评价。”

  好家伙,这篇报道估计本身就会给航司带来“负面网络舆论评价”……如果哪家航空公司的系统真的被这么黑进去了,那会成为国家安全问题的。事实上,作为民航IT界人士,这篇文章发布以后我接到不少朋友,询问中国民航IT系统的可靠性,甚至还有“它说飞行系统无法正常运作,飞机会不会飞着飞着就瘫痪啊?”这样的问题。这样的问题,显示出新闻已经对听众对民航的印象带来了负面的影响这一事实。

  看过笔者《云上的星星——星盟AWS迁移》系列文章的读者可能知道,航空公司内部的系统普遍实施安全分级制度。按照可访问性一般分为三类:

  1.旅客可读可写(客票业务系统中的个人信息部分);

  2.旅客可读不可写(客票业务系统中的航班信息部分);

  3.旅客不可读不可写(例如飞行和运行控制系统);

  三个系统互为孤岛,通过API网关按一定格式传递信息。例如,旅客购票的时候写入的个人信息,被个人信息处理系统单向传递给航班信息处理系统。航班信息处理系统汇总旅客购票列表之后将其单向传给签派系统负责配载平衡。

  这种单向传递拥有完善的白名单机制(必须由指定的系统发出的报文才能被接受)。一般而言,实施这种白名单机制最简单的方法是物理隔离“拉专线”。例如,笔者曾经服务过的一家外国航司,将客票业务系统的个人信息部分放置在AWS公有云上并开放对外访问,将航班信息部分放在AWS私有云上,而将飞行和运行控制系统放在公司总部内的私有集群上。三者之间通过专线联系,航班信息系统和飞行运控系统不接入互联网。

  国内也有类似的机制——例如政府机关使用“互联网、政务外网、政务专网、政务内网”四层网络系统。根据法院向媒体发布的证据页面照片,被告人攻击的是航空公司官网的订票网关和支付网关。订票网关负责处理旅客的个人信息(包括旅客对航班的需求、旅客的证件等),支付网关负责处理旅客付款(信用卡、手机扫码支付的各项信息),一般而言属于第一层(旅客可读可写)的系统,与航班信息系统、飞行运控系统都是严格隔离的。

  事实上,假如飞行和运控系统受到影响,那航空公司的时刻表会大乱套的;假如旅客服务系统受到影响,那旅客会无法办理登机牌等值机手续,机场会大乱套的(之前南京机场就出过由于旅客服务系统出问题导致旅客滞留机场的新闻)。但事实上,在事故发生时的去年6月10日,国内各家航司都好好地进行着本职工作,显示出各家航空公司的飞行、运控、旅客服务等系统,并没有受到明显的攻击影响。

  另外一提的是,订票网关和支付网关属于接触旅客个人信息的系统,各航空公司对其都有严格的保护措施,守口如瓶般保障旅客和货主的个人隐私。在受到攻击的时候,良好实现的订票网关和支付网关应该只会停止服务,而不会在漏洞中泄露个人信息。这次的判决书反映的事实确实如此——航空公司的支付网关除了停止服务之外,没有造成更严重的后果,说明系统本质还是值得信赖的。

  #这件事的本质是什么?

  这件事的本质其实很简单——其实就是抢票而已。法院提到这个人6月10日对目标航空公司实施攻击,7月初回国解除隔离后被抓。这个人很快就被抓的原因非常简单——购买国际机票要护照的,抢票时候如果不提交自己的个人信息,这票怎么买呢?

  根据原文,这位被告回国十分心切。因此,通过DDoS攻击使得航空公司停止服务,“空机回国”对他没有好处——他买不到票,就算有位置也回不了国。因此,他发起DDoS时,一定包含了自己的个人信息——也就是在重复提交购票请求,这样一旦哪位旅客退票放出空位,就可以买到机票了。但是,以这样的形式频繁地将自己的全套实名身份信息发给航空公司,这不是承认“我就是攻击你的犯人”嘛。

  而且更离谱的是,被告人在攻击完这家应该是位于广州的航空公司(破坏计算机信息系统罪一般以犯罪结果地作为优先管辖地,因此结果地的广州市白云区可视为航空公司的所在地)之后,还敢大摇大摆地飞回广州——很可能还是坐的这家航空公司的航班。同时,他甚至还向这家航空公司发送威胁邮件——甚至可能是用和接受订票确认信的同一个邮箱发的。

  好家伙,这妥妥是被“蜜罐”战术逮到了嘛——我知道你在攻击我,我先请君入瓮,让你坐着我们的飞机回国,之后再瓮中捉鳖,等你解除隔离的时候逮捕你。年轻人还是too young too simple,some times naive啊。

  #总结:为了做新闻而做新闻不可取

  我在这里想同这几家媒体“讲多声”。如果说“销售系统不能运作”还是业内可以确认的事实的话,“机场旅客服务、飞行、运控等系统无法正常运作”谈何说起?2020年6月10日当天全国航班飞行运行安全、正常,也没有哪家机场出现旅客服务瘫痪的现象,敢问从哪里可以看到“机场旅客服务、飞行、运控等系统无法正常运作”这样的情况?

  作为专业人士还想讲多一句——在这样的行业性新闻之前,求证业内人士是有必要的。就算航空公司出于同行关系不便发言,中国也有很多做航空IT的乙方和熟悉IT系统的工程师,可以对此做出客观的分析。不经求证就报道新闻,和造谣无甚分别。

  同时,作为社会一员我还想多说一句。在这样的新闻里强调被告人的身份,与让被告人“社会性死亡”并无区别——虽然法院会保护被告人的个人信息,但被告人在羁押场所派发的报纸上读到这篇报道,被告人的家属在网上读到这篇报道,想必心情不会好受。

  言辞如刀。稍有不甚,就会给相关的人带来巨大的影响。中国民航业需要做大量的工作,重新建立公众对我们的信息安全工作的信任;而被告人和家属在重归社会以后,也需要大量的时间才能摆脱社会对他的讥讽和嘲笑。

  “搞个大新闻,把民航业这样批判一番”,这样的操作实在是不可取的。

2荐闻榜