DE102019122817A1 - Netzwerk-Sicherheitsangriffs-Fehlausrichtung auf einem Transportfahrzeug - Google Patents

Netzwerk-Sicherheitsangriffs-Fehlausrichtung auf einem Transportfahrzeug Download PDF

Info

Publication number
DE102019122817A1
DE102019122817A1 DE102019122817.4A DE102019122817A DE102019122817A1 DE 102019122817 A1 DE102019122817 A1 DE 102019122817A1 DE 102019122817 A DE102019122817 A DE 102019122817A DE 102019122817 A1 DE102019122817 A1 DE 102019122817A1
Authority
DE
Germany
Prior art keywords
access
network
remote
simulated
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019122817.4A
Other languages
English (en)
Inventor
Philip Watson
Steve Bates
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Avionics Corp
Original Assignee
Panasonic Avionics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Avionics Corp filed Critical Panasonic Avionics Corp
Publication of DE102019122817A1 publication Critical patent/DE102019122817A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft

Abstract

Eine vor Ort auswechselbare Einheit zur Netzsicherheitsangriffsfehlleitung zur Installation in einem Luftfahrzeug und zur Verbindung mit einem bordeigenen Datennetz enthält eine Schnittstelle eines lokalen Netzes zu dem bordeigenen Datennetz. Ein lokaler Simulations-Server nimmt ankommende Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von einer Client-Vorrichtung eines Angreifers an und antwortet darauf entweder mit einer simulierten Zugriffsverweigerungsantwort oder einer simulierten Zugriffsgewährungsantwort. Die Verzögerungen zwischen dem Empfang der Zugriffsanforderungen und der Zugriffsverweigerungsantwort werden bei jeder Präsentation des Zugriffsberechtigungsnachweises zunehmend vergrößert.

Description

  • QUERVERWEIS AUF VERWANDTE ANMELDUNGEN
  • Nicht zutreffend
  • ERKLÄRUNG RE: BUNDES STAATLICH GEFÖRDERTE FORSCHUNG/ENTWICKLUNG
  • Nicht zutreffend
  • HINTERGRUND
  • Technisches Gebiet
  • Die vorliegende Offenbarung bezieht sich im Allgemeinen auf die Datenkommunikation und insbesondere auf Systeme zum Fehlleiten von Netzsicherheitsangriffen in einem Flugzeug und anderen Transportfahrzeugen.
  • Stand der Technik
  • Eine Flugreise umfasst typischerweise Reisen über ausgedehnte Strecken, die allermindestens mehrere Stunden bis zum Abschluss dauern. Einige der längeren internationalen Non-Stop-Flüge weisen bei Reiseentfernungen, die sich über zehntausend Meilen erstrecken, geplante Dauern von über sechzehn Stunden auf. Die Passagiere an Bord des Luftfahrzeugs sind während der gesamten Dauer des Flugs innerhalb eines umschlossenen Raums eines bezeichneten Sitzes mit nur begrenzten Gelegenheiten, den Sitz für die Benutzung der Toilette usw. zu verlassen, eingeschränkt. Folglich weist sogar bei den kürzesten Reisen ein Flugreisender etwas ungenutzte Zeit auf, die der Passagier mit Arbeit, Freizeit und/oder Ruhe ausfüllen kann.
  • Die Fluggesellschaften stellen bordeigene Bordunterhaltungssysteme (IFE-Systeme) bereit, die eine umfassende Vielfalt von Multimedia-Inhalt für das Passagiervergnügen bieten. Kürzlich veröffentlichte Filme sind eine beliebte Betrachtungsauswahl, wie es Fernsehshows, wie z. B. Nachrichtenprogramme, Situations- und Stegreifkomik, Dokumentationen usw., sind. Die nützlichen Informationen über das Ziel, wie z. B. die Ausstiegsprozeduren des Flughafens, die Einreise- und Zollprozeduren und dergleichen, werden außerdem häufig dargestellt. Es ist ein ausschließliches Hörprogramm außerdem verfügbar, das typischerweise aus Abspiellisten von Liedern besteht, die in ein häufiges Thema oder Genre passen. Gleichermaßen ist ausschließlicher Videoinhalt, wie z. B. die Kartierung des Flugablaufs, Anzeigen des Flugstatus usw., verfügbar. Viele Bordunterhaltungssysteme enthalten außerdem Videospiele, die durch den Passagier gespielt werden können.
  • Obwohl die in der Kabine installierten IFE-Systeme eine beliebte Wahl für die Passagiere sind, wählt eine zunehmende Anzahl, ihre eigenen tragbaren Elektronikvorrichtungen (PEDs), wie z. B. Smartphones, Medienspieler, elektronische Lesegeräte, Tablets, Laptop-Computer usw., an Bord zu bringen. In diese Vorrichtungen sind typischerweise Musik, Video, Spiele und anderer Multimedia-Inhalt der Auswahl des Anwenders geladen, obwohl derartige Vorrichtungen meistens die gleiche Rolle wie die IFE-Systeme übernehmen - um den Anwender während des Flugs unterhalten und anderweitig beschäftigt zu halten.
  • Es gibt jedoch außerdem einen Bedarf bei dem Teil von einigen Passagieren, die PEDs produktiver zu verwenden, was typischerweise den Zugriff auf das Internet erfordert. Die PEDs können z. B. verschiedene E-Mail- und Nachrichtensofortversand-Client-Anwendungen, Aktienhandelanwendungen, Bankanwendungen, Anwendungen der gemeinsamen Dateinutzung, cloud-basierte Techniken zum Aufnehmen von Notizen und zahllose andere Produktivitäts-Software darin installiert aufweisen. Weiterhin kann es dedizierte Anwendungen geben, die Funktionen aufweisen, die während einer Reise besonders nützlich sind, wie z. B. die Verfolgung der Reise und des Anschlussflugs/des Abflugsteigs. Außerdem sind Anwendungen beliebt, die nicht notwendigerweise produktivitätsbezogen sind, aber dennoch einen Internet-Zugang erfordern, wie z. B. Aktualisierungen von Sport-Spielständen, textbasierte Nachrichten usw.
  • Der Internet-Zugang bei Flugreisen wird typischerweise über ein bordeigenes WiFi-Netz bereitgestellt, mit dem die PEDs verbunden sind. In dieser Hinsicht kann es mehrere WiFi-Zugangspunkte geben, die sich überall in der Kabine befinden, wobei jeder von ihnen mit einem Satelliten-Aufwärtsstreckenmodul verbunden ist, das mit einem Satelliten in Verbindung steht. Der Satellit kann wiederum mit einer Bodenstation in Verbindung stehen, die mit dem Internet verbunden ist.
  • In einigen IFE-Implementierungen kann sich ein PED mit dem WiFi-Netz verbinden, ohne auf die satellitenbasierte Internetverbindung zuzugreifen. Eine Anwendung ist die Wiedergewinnung von Multimedia-Inhalt und in Beziehung stehender Daten (wie z. B. die für die Wiedergabe erforderlichen Schlüssel für das Management digitaler Rechte) von einem bordeigenen Inhalts-Server für den Genuss über die PED während des Fluges. In diesem Sinne kann es notwendig sein, dass die PED auf eine Anmeldungs-Webseite in dem lokalen Netz zugreift, durch die die Bezahlung für den Internet-Zugriff zusammen mit dem Eingeben einer Einwilligung der Fluggesellschaft und den Klauseln und Bedingungen des Anbieters der Datenverbindung usw. abgeschickt werden kann, bevor der Zugriff auf das Internet erlaubt wird. Der WiFi-Zugangspunkt kann mit einer Firewall zusammenarbeiten, die den Zugriff auf das Internet von spezifischen PEDs in Übereinstimmung mit der Bezahlung der Zugriffs-/Abonnementgebühr selektiv einschränkt und erlaubt.
  • Obwohl das für die Passagiere zugängliche bordeigene Datennetz typischerweise auf die Unterhaltungs- und Internet-Zugangs-Funktionalitäten ohne irgendeinen Übergang zu für die Flugsicherheit entscheidenden Avionik-Systemen begrenzt ist, sind verschiedene betriebsbezogene Systeme zunehmend verbunden. Derartige Systeme können das Ziel von Hackerangriffen von Passagieren sein. Während die Angriffe gegen die obenerwähnten Bezahlungsverarbeitungs- und Medieninhaltsliefersysteme nicht dazu führen können, dass ein Angreifer die Steuerung über die Flug- oder Sicherheitssysteme übernimmt, können dennoch signifikante Störungen für die Dienste auftreten, die die Passagiere ansonsten erwarten, wobei dadurch das Ansehen der Fluggesellschaft beeinflusst wird. Infolge des Angriffs können außerdem gespeicherte Anwenderkonten, Kennwörter und sensible Finanzinformationen, z. B. Kreditkarten, gefährdet sein. Weiterhin können in dem Ausmaß, in dem die Angriffe auf betriebsbezogene Systeme gerichtet sind, die mit dem mit den Passagieren gemeinsam benutzten bordeigenen Netz verbunden sind, Flugoperationen im Fall einer Sicherheitsverletzung beeinflusst werden.
  • Entsprechend gibt es in der Technik einen Bedarf an der Verteidigung der Sicherheit des Bordnetzes und das Fehlleiten der gegen die vernetzten Betriebsmittel an Bord eines Luftfahrzeugs und anderer Transportfahrzeuge gerichteten Angriffe auf die Sicherheit. Es gibt außerdem einen Bedarf an „Honeypots“, „Honeypits“, „Tarpits“ und Honey-Dateien, die die Zeit und die Aufmerksamkeit eines Angreifers in Anspruch nehmen können, der während der relativ kurzen Dauer eines Flugs mit dem Netz verbunden ist. Die Avionik-Systeme sind teuer zu modifizieren und bezüglich des Speichers, der Rechenleistung, der elektrischen Leistung und des physikalischen Raums, die für derartige Funktionen dediziert sein können, begrenzt. Folglich gibt es einen Bedarf an Implementierungen derartiger Fehlleitungssysteme, die derartige Einschränkungen vermeiden und/oder umgehen.
  • KURZZUSAMMENFASSUNG
  • Die vorliegende Offenbarung ist auf das Verbessern der Sicherheit in Fahrzeugunterhaltungs- und -kommunikationssystemen durch das Fehlleiten von Angreifern zu einem simulierten System, das außerdem als ein „Honeypot“ bezeichnet wird, gerichtet. Derartige „Honeypots“ können auf Netzdiensten basieren, die wahrscheinliche Ziele wie einen „Secure-Shell-Server“ (SSH-Server) repräsentieren, da das Erlangen der vollen Zugriffsprivilegien auf ihn ein gesamtes System potentiell anfällig hinterlassen kann. Bei einem unberechtigten Zugriff auf das simulierte System kann eine unmittelbare Benachrichtigung davon ausgelöst werden, die das Bodeninformations-Sicherheitspersonal benachrichtigt.
  • Gemäß einer Ausführungsform gibt es ein System zum Fehlleiten von Netzsicherheitsangriffen an Bord eines Fahrzeugs. Es kann außerdem eine Datennetzschnittstelle geben, die mit einem lokalen Netz des Fahrzeugs verbunden ist. Es können eine oder mehrere Client-Vorrichtungen mit dem lokalen Netz verbindbar sein. Es kann außerdem einen bordeigenen Netzdienstsimulator geben, der mit der Datennetzschnittstelle verbunden ist. Der bordeigene Netzdienstsimulator kann ankommende Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von einer Client-Vorrichtung des Angreifers annehmen. Der bordeigene Netzdienstsimulator kann außerdem auf derartige ankommende Zugriffsanforderungen antworten. Das System kann außerdem eine simulierte Dienstanwenderschnittstelle enthalten, die bei einer Annahme des Zugriffsberechtigungsnachweises Befehlseingaben annimmt, die den Anforderungen entsprechen, auf einen simulierten Datensatz zuzugreifen. Es kann außerdem eine Zugriffsversuchs-Überwachungseinrichtung geben, die mit dem bordeigenen Netzdienstsimulator und der simulierten Dienstanwenderschnittstelle in Verbindung steht. Die Zugriffsversuchs-Überwachungseinrichtung kann ein Sicherheitsverletzungsereignis für jede ankommende Zugriffsanforderung auf den bordeigenen Netzdienstsimulator und die Befehlseingaben für die Anforderungen, auf den simulierten Datensatz zuzugreifen, erfassen.
  • Eine weitere Ausführungsform der vorliegenden Offenbarung ist eine vor Ort auswechselbare Einheit zur Netzsicherheitsangriffsfehlleitung zur Installation in einem Luftfahrzeug und zur Verbindung mit einem bordeigenen Datennetz. Die vor Ort auswechselbare Einheit kann eine Schnittstelle eines lokalen Netzes zu dem bordeigenen Datennetz enthalten. Die vor Ort auswechselbare Einheit kann außerdem eine Datenverarbeitungsvorrichtung enthalten, die eine Folge im Voraus programmierter Anweisungen eines lokalen Simulations-Servers ausführt. Gemäß verschiedenen Ausführungsformen kann der lokale Simulations-Server ankommende Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von einer Client-Vorrichtung eines Angreifers annehmen. Zusätzlich kann der lokale Simulations-Server auf derartige ankommende Zugriffsanforderungen entweder mit einer simulierten Zugriffsverweigerungsantwort oder einer simulierten Zugriffsgewährungsantwort antworten. Die Verzögerungen zwischen dem Empfang der Zugriffsanforderung und der Zugriffsverweigerungsantwort können bei jeder Präsentation eines falschen Zugriffsberechtigungsnachweises von der Client-Vorrichtung des Angreifers für den lokalen Simulations-Server zunehmend vergrößert werden. Bei einer Zugriffsgewährungsantwort kann der lokale Simulations-Server den Zugriff auf einen simulierten Datensatz erlauben.
  • Eine noch weitere Ausführungsform ist auf ein System zum Fehlleiten eines Angriffs gerichtet, der von einem Knoten ausgeht, der mit einem fahrzeugbasierten lokalen Netz mit einer Kommunikationsverbindung zu einem entfernten Netz verbunden ist. Das System kann eine Schnittstelle eines lokalen Netzes zu dem fahrzeugbasierten lokalen Netz enthalten. Es kann außerdem eine Schnittstelle des entfernten Netzes geben, die die Kommunikationsverbindung zwischen dem fahrzeugbasierten lokalen Netz und dem entfernten Netz aufbaut. Das System kann außerdem einen lokalen Simulations-Server enthalten, der ankommende lokale Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von dem angreifenden Knoten annimmt. Der lokale Simulations-Server kann auf die lokale Zugriffsanforderung mit einer simulierten lokalen Zugriffsverweigerungsantwort mit zunehmend längeren Verzögerungen zwischen dem Annehmen der ankommenden lokalen Zugriffsanforderungen antworten. Es kann außerdem einen entfernten Simulations-Server geben, der ähnlich die ankommenden Fernzugriffsanforderungen annimmt, die durch die Schnittstelle des entfernten Netzes über die Kommunikationsverbindung weitergeleitet werden. Der entfernte Simulations-Server kann auf die ankommenden Fernzugriffsanforderungen mit einer simulierten Fernzugriffsverweigerungsantwort mit zunehmend längeren Verzögerungen zwischen dem Annehmen der ankommenden Fernzugriffsanforderungen antworten.
  • Die vorliegende Offenbarung wird am besten unter Bezugnahme auf die folgende ausführliche Beschreibung verstanden, wenn sie im Zusammenhang mit den beigefügten Zeichnungen gelesen wird.
  • Figurenliste
  • Diese und andere Merkmale und Vorteile der hier offenbarten verschiedenen Ausführungsformen werden bezüglich der folgenden Beschreibung und der Zeichnungen besser verstanden, in denen sich gleiche Bezugszeichen überall auf gleiche Teile beziehen und worin:
    • 1 eine graphische Darstellung ist, die eine Umgebung veranschaulicht, in der das vorliegende System zum Fehlleiten von Netzsicherheitsangriffen implementiert sein kann;
    • 2 ein Blockschaltplan des Systems zum Fehlleiten von Netzsicherheitsangriffen in Übereinstimmung mit einer Ausführungsform ist; und
    • 3 eine graphische Darstellung ist, die die Komponenten einer vor Ort auswechselbaren Einheit veranschaulicht, die eine Ausführungsform des Systems zum Fehlleiten von Netzsicherheitsangriffen ist.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die im Folgenden im Zusammenhang mit den beigefügten Zeichnungen dargelegte ausführliche Beschreibung ist als eine Beschreibung der mehreren gegenwärtig beabsichtigten Ausführungsformen eines Systems zum Fehlleiten von Netzsicherheitsangriffen in einem Transportfahrzeug vorgesehen. Diese Beschreibung ist nicht vorgesehen, die einzige Form zu repräsentieren, in der die Ausführungsformen der offenbarten Erfindung entwickelt oder verwendet werden können. Die Beschreibung legt die Funktionen und die Merkmale im Zusammenhang mit den veranschaulichten Ausführungsformen dar. Es soll jedoch erkannt werden, dass die gleichen oder äquivalenten Funktionen durch andere Ausführungsformen erreicht werden können, für die außerdem vorgesehen ist, dass sie innerhalb des Schutzumfangs der vorliegenden Offenbarung eingeschlossen sind. Es wird ferner erkannt, dass die Verwendung von relationalen Begriffen, wie z. B. erster und zweiter, lokal und entfernt und dergleichen, außerdem ausschließlich verwendet wird, um eine Entität von einer weiteren Entität zu unterscheiden, ohne notwendigerweise irgendeine tatsächliche derartige Beziehung oder Reihenfolge zwischen derartigen Entitäten zu erfordern oder zu implizieren.
  • 1 ist eine vereinfachte graphische Darstellung eines Luftfahrzeugs 10, das hier im Allgemeinen als ein Fahrzeug bezeichnet wird, zusammen mit seinen ausgewählten Untersystemen und Komponenten, die im Zusammenhang mit den Ausführungsformen der vorliegenden Offenbarung verwendet werden. Innerhalb eines Rumpfes 12 des Luftfahrzeugs 10 kann es die Sitze 14 geben, die über mehrere Reihen 16 angeordnet sind, wobei jeder Sitz 14 einen einzelnen Passagier aufnimmt. Obwohl die Merkmale der vorliegenden Offenbarung im Kontext des Luftfahrzeugs 10 beschrieben werden, ist dies lediglich beispielhaft und nicht einschränkend. Das gegenwärtig offenbarte System zum dynamischen Implementieren von Firewall-Ausnahmen kann gegebenenfalls in irgendeinem anderen Kontext verwendet werden.
  • Ein oder mehrere Passagiere können eine tragbare elektronische Vorrichtung (PED) 18 während des Fluges verwenden. Für die Zwecke der vorliegenden Offenbarung beziehen sich die PEDs 18 auf Smartphones, Tablet-Computer, Laptop-Computer und andere ähnliche Vorrichtungen, die einen Universaldatenprozessor enthalten, der bei Eingaben, die die Ausführung der Anweisungen steuern, im Voraus programmierte Anweisungen ausführt, um verschiedene Ausgaben auf einer Anzeige zu erzeugen. Obwohl diese Vorrichtungen am häufigsten durch die Passagiere selbst an Bord des Luftfahrzeugs 10 gebracht werden, können die Fluggesellschaften sie außerdem den Passagieren für die vorübergehende Verwendung anbieten.
  • Das Luftfahrzeug 10 enthält ein Bordunterhaltungs- und -kommunikationssystem (IFEC-System) 20. Eine seiner Komponenten ist ein Datenkommunikationsmodul 22. Fast alle herkömmlichen PEDs 18 weisen ein WLAN-Modul (WiFi-Modul) auf, so dass das Datenkommunikationsmodul 22 des IFEC-Systems 20 einen WLAN-Zugangspunkt 22a enthält. Die PED 18 kann sich über das bordeigene WLAN-Netz mit dem IFEC-System 20 verbinden, um auf verschiedene darauf angebotene Dienste, wie z. B. das Herunterladen/Betrachten von Inhalt, Einkaufen usw., zuzugreifen. Typischerweise ist ein einziger WLAN-Zugangspunkt 22a unzureichend, um eine drahtlose Verbindbarkeit überall in der Kabine bereitzustellen, daher können zusätzliche WLAN-Zugangspunkte 22a-1 und 22a-2 an verschiedenen räumlich voneinander beabstandeten Orten installiert sein und über eine verdrahtete Verbindung mit dem Datenkommunikationsmodul 22 verbunden sein.
  • Das IFEC-System 20 kann außerdem den angeschlossenen PEDs einen Internet-Zugang anbieten. Eine beabsichtigte Modalität, die mit dem IFEC-System 20 arbeitet, ist ein Satellitenmodul 24, das eine Datenaufwärtsstrecke 26 zu einem Kommunikationssatelliten 28 aufbaut. Gemäß einer beispielhaften Ausführungsform kann die Datenaufwärtsstrecke 26 aus Mikrowellenübertragungen im Ku-Band bestehen. Es kann jedoch jeder geeignete Kommunikationssatellit 28, wie z. B. Inmarsat oder Iridium, außerdem verwendet werden, ohne von der vorliegenden Offenbarung abzuweichen, einschließlich anderer Bänder, wie z. B. des Ka-Bandes, des C-Bandes und/oder des X-Bandes. Die zu dem Kommunikationssatelliten 28 übertragenen Daten werden zu einem Satellitenkommunikations-Diensteanbieter 30 weitergeleitet. Zwischen dem Kommunikationssatelliten 28 und dem Satellitenkommunikations-Diensteanbieter 30 ist eine Datenabwärtsstrecke 32 aufgebaut, die wiederum ein Netz-Gateway 34 mit einer Verbindung zum Internet 36 enthält. Wie durch die Durchschnittsfachleute auf dem Gebiet erkannt wird, gibt es jedoch in den verschiedenen Ausführungsformen der vorliegenden Offenbarung zahlreiche Server, die über das Internet 36 zugänglich sind. Der Internetzugang kann außerdem über ein Luft-Boden-Modul 24a bereitgestellt werden, das über eine Datenverbindung 26a direkt zwischen dem Fahrzeug 12 und einer Bodenstation überträgt. Während eine Bodenstation auf einem Wasserfahrzeug und/oder an küstennahen Orten vorgesehen sein kann, sind die direkten Datenverbindungen 26a zwischen dem Fahrzeug 12 und einer Bodenstation größtenteils auf Reisen über Landmassen begrenzt. Die Satellitenverbindungen sind typischerweise eine teurere Lösung zum Bereitstellen des Internetzugangs, aber zum Bereitstellen des Internetzugangs während des Reisens über große Gewässer über die Reichweite einer Bodenstation hinaus vorteilhaft. Die vorliegende Offenbarung ist auf Systeme anwendbar, die Satellitendatenverbindungen, direkte Luft-Boden-Verbindungen und/oder andere Typen von Datenverbindungen, wie z. B. Verbindungen von Fahrzeug zu Fahrzeug, wie z. B. ein Maschennetz, enthalten.
  • Es wird erkannt, dass die PED 18 über den WLAN-Zugangspunkt 22a, der die Datenübertragungen zu dem Satellitenmodul 24 weiterleitet, mit dem IFEC-System 20 verbunden ist. Die Daten werden über die Datenaufwärtsstrecke 26 zu dem Kommunikationssatelliten 28 übertragen, wobei der Satellit die Daten über die Datenabwärtsstrecke 32 zu dem Satellitenkommunikations-Diensteanbieter 30 weiterleitet. Das Netz-Gateway 34 leitet dann die Übertragungen zum Internet 36 weiter. Es wird erkannt, dass die Datenübertragungen von anderen Knoten im Internet 36 zu der PED 18 einem entgegengesetzten Kurs folgen. Aufgrund der hohen Kosten, die dem Kommunikationssatelliten 28 zugeordnet sind, die an die Anwender der Datenaufwärtsstrecke 26 und der Datenabwärtsstrecke 32 weitergegeben werden, kann die Fluggesellschaft den Datenverkehr zu dem und von dem Satellitenmodul 24 mit einer Firewall 38 begrenzen.
  • Eine weitere Weise, in der der Passagier die durch das IFEC-System 20 angebotenen Dienste verwenden kann, sind die einzelnen Rückenlehnenmodule, die typischerweise aus einer Endgeräteeinheit 40, einer Anzeige 42, einem Audioausgang 44 und einem Fern-Controller 46 bestehen. Für eine gegebene Reihe 16 der Sitze 14 sind die Endgeräteeinheit 40 und der Audioausgang 44 in dem Sitz 14 angeordnet, für den sie vorgesehen sind, wobei aber die Anzeige 42 und der Fern-Controller 46 in der Reihe 16 vor dem Sitz 14, für den sie vorgesehen sind, angeordnet sein können. Das heißt, die Anzeige 42 und der Fern-Controller 46 sind in der Rückenlehne der Reihe vor dem Sitz installiert. Dies ist lediglich beispielhaft, wobei andere Montage- und Zugriffskonfigurationen der Anzeige 42 und des Fern-Controllers 46, wie z. B. ein einziehbarer Arm oder dergleichen, der an einer Armlehne des Sitzes 14 angebracht ist, oder durch das Anbringen an einer Trennwand.
  • Es wird erkannt, dass die Anzeige 42 ein herkömmlicher Flüssigkristallanzeigeschirm (LCD-Schirm) oder ein anderer Typ mit einem geringen Profil ist, der für die Installation in der Rückenlehne geeignet ist. Jeder Passagier kann ein einzelnes Headset 48 verwenden, das entweder durch die Fluggesellschaft oder durch den Passagier geliefert wird, das ein privateres Hörerlebnis bereitstellt. In der veranschaulichten Ausführungsform ist der Audioausgang 44 eine Kopfhörerbuchse, die eine Standard-Ring/Spitzen/Muffen-Buchse ist. Die Kopfhörerbuchse kann in der Nähe der Anzeige 42 oder in der Armlehne des Sitzes 14 angeordnet sein, wie gezeigt ist. Die Kopfhörerbuchse kann ein aktiver Typ mit Rauschunterdrückung sein und zwei oder drei Buchsen enthalten oder ein Standard-Audioausgang ohne Rauschunterdrückung sein. Es ist außerdem möglich, drahtlose Übertragungs-/Verbindbarkeitssysteme mit kurzer Reichweite, wie z. B. Bluetooth, zu verwenden, um das Headset 48 mit der Endgeräteeinheit 40 zu verbinden. In alternativen Ausführungsformen kann jede Anzeige 42 eine Endgeräteeinheit 40 enthalten, um eine Anzeigeeinheit zu bilden, die in der Technik als ein Smart-Monitor bezeichnet wird.
  • Eine häufige Verwendung für die in dem Luftfahrzeug installierte Endgeräteeinheit 40 ist die Wiedergabe von verschiedenem Multimedia-Inhalt. Die Endgeräteeinheit 40 kann mit einem Universaldatenprozessor implementiert sein, der die dem Multimedia-Inhalt entsprechenden Datendateien decodiert und die Video- und Audiosignale für die Anzeige 42 bzw. den Audioausgang 44 erzeugt. Die Datendateien des Multimedia-Inhalts können an einem oder mehreren Aufbewahrungsorten, die dem IFEC-System 20 zugeordnet sind, gespeichert sein, wobei jede der Endgeräteeinheiten 40 für jeden Sitz 14 über eine verdrahtete Verbindung 49 eines lokalen Netzes, das bevorzugt Ethernet sein kann, mit ihm verbunden sein kann. Zusätzlich zu dem obenerwähnten Datenkommunikationsmodul 22, das den Zugangspunkt für die PEDs 18 enthält, gibt es ein Ethernet-Datenkommunikationsmodul 22b. Insbesondere wird erkannt, dass das Ethernet-Datenkommunikationsmodul 22b ein Ethernet-Switch oder ein Router ist.
  • Unter den häufigsten Verwendungsszenarios leiten die Endgeräteeinheiten 40 eine Anforderung für den Multimedia-Inhalt an das IFEC-System 20 ein, wo derartiger Inhalt gespeichert ist. Die Daten werden über die verdrahtete Verbindung 49 des lokalen Netzes zu der anfordernden Endgeräteeinheit 40 übertragen, wobei folglich der meiste Datenverkehr lokal bleibt. Es gibt jedoch mehrere zusätzliche beabsichtigte Anwendungen, die sich auf eine Verbindung mit dem Internet 36 stützen können, wobei in diesem Fall die Daten zu dem Satellitenmodul 24 weitergeleitet werden, solange wie eine Erlaubnis dafür in der gleichen Weise, wie sie oben in Bezug auf das WLAN-Netz und die von der PED 18 ausgehende Anforderung beschrieben worden ist, durch die Firewall 28 gewährt worden ist.
  • Es wird folglich erkannt, dass das Datenkommunikationsmodul 22 die Hardware-Komponenten, wie z. B. den obenerwähnten WLAN-Sender/Empfänger 22a und den Ethernet-Router/Switch 22b, umfasst. Zusätzlich ist vorgesehen, dass das Datenkommunikationsmodul 22 die Software-Treiber enthält, die die Hardware-Komponenten mit den anderen Software-Modulen des IFEC-Systems 20 verbinden. In diesem Sinne können die kombinierten Segmente im Allgemeinen als das bordeigene lokale Netz 50 bezeichnet werden, während ein Segment des Netzes, das durch den WLAN-Zugangspunkt 22a definiert ist, von dem getrennt ist, was durch das Ethernet-Datenkommunikationsmodul 22b definiert ist.
  • Obwohl sich die meisten Passagiere ohne irgendeine böse Absicht mit dem bordeigenen lokalen Netz 50 verbinden, kann es einige geben, die versuchen, auf eingeschränkte Segmente/Dienste für bösartige Zwecke, wie z. B. das Erhalten sensibler Daten und das Unterbrechen dieser Dienste und/oder das Übernehmen der Steuerung über diese Dienste, zuzugreifen. Typischerweise sind die flugentscheidenden Avionik-Systeme von dem bordeigenen lokalen Netz 50, das den Datenverkehr der Passagiere überträgt, physikalisch getrennt, wobei einige Luftfahrzeugsysteme das bordeigene lokale Netz 50 für Verwaltungs- und Wartungszwecke verwenden können. Die Angriffe gegen die mit dem bordeigenen lokalen Netz 50 verbundenen Betriebsmittel sind für die Fluggesellschaften problematisch, ob sie für einen finanziellen Gewinn oder zur Unterhaltung/der Suche nach einem Nervenkitzel ausgeführt werden, wobei daher die vorliegende Offenbarung verschiedene Systeme zum Fehlleiten derartiger Netzsicherheitsangriffe beabsichtigt.
  • Der Blockschaltplan nach 2 veranschaulicht eine Ausführungsform eines Systems 52 zum Fehlleiten von Netzsicherheitsangriffen, die von einer Passagier-PED 18 an Bord des Luftfahrzeugs 10 ausgehen können. Das System 52 kann außerdem verschieden als ein „Honeypot“ oder eine „Tarpit“ bezeichnet werden, da es konfiguriert ist, die Angriffe gegen die mit dem bordeigenen lokalen Netz 50 verbundenen Betriebsdienste anzuziehen und umzuleiten, währenddessen es langsam auf jeden Zugriffsversuch mit dem Ziel antwortet, den Angreifer zu bremsen. Die Dauer selbst der längsten internationalen Langstreckenflüge liegt unter zwanzig Stunden, wobei sie aber meistens nur ein Bruchteil davon ist und beträchtlich kleiner als andere Systeme ist, in denen die Angriffsbemühungen im Lauf mehrerer Tage und Wochen, wenn nicht Monate oder sogar Jahre ausgeführt werden können. Es ist beabsichtigt, dass sämtliche Verzögerungsstrategien, die einen Passagierangreifer weg von dem bordeigenen lokalen Netz 50 und seinen Betriebsmitteln fehlleiten, erstrebenswert sind, weil diese Zeit und dieser Aufwand nicht auf sie gerichtet sind. Das System 52 wird folglich vergegenwärtigt, um zusätzliche Zeit und zusätzlichen Aufwand für einen erfolgreichen Angriff zu verursachen, wobei der Abschluss während einer typischen Reise mit Hin- und Rückflug undurchführbar werden kann.
  • Wie oben erörtert worden ist, ist das Luftfahrzeug 10 mit dem bordeigenen lokalen Netz 50 ausgerüstet, mit dem sich eine oder mehrere Passagier-PEDs 18 verbinden können, um z. B. mit dem IFEC-System 20 oder über den Kommunikationssatelliten 28 mit dem Internet 36 zu kommunizieren. In dem veranschaulichten Beispiel kann die PED 18 die eines Angreifers sein, wobei sie verwendet wird, um die Sicherheit des angeschlossenen Avionik-Systems zu verletzen und Zugriff auf es zu erlangen. In dem Blockschaltplan nach 2 ist ein Avionik-System 54, das mit dem bordeigenen lokalen Netz 50 verbunden ist, umfassend dargestellt. Das Avionik-System 54 kann eine Datennetzschnittstelle 56 enthalten, wobei erkannt wird, dass sie die Hardware- und Software-Komponenten umfasst, die verwendet werden, um das Avionik-System 54 mit dem bordeigenen lokalen Netz 50 zu verbinden. Ein Beispiel des Avionik-Systems 50 ist das IFEC-System 20, wobei es aber nicht auf dieses eingeschränkt ist. Andere enthalten Flugbetriebs-Managementsysteme, die den Pilotenraum, die Kabine und das Bodenpersonal bei Betriebs- und Wartungsprozeduren unterstützen und Informationen an die Bodenunterstützungszentren melden.
  • Ausführlicher enthält das Avionik-System 54 eine Vorrichtung 58 des lokalen Netzes, wobei erkannt wird, dass sie sich auf einen Netzdienst oder ein Netzbetriebsmittel bezieht, der bzw. das von einem Client zugänglich ist, der mit dem bordeigenen lokalen Netz 50 verbunden ist. Der Dienst 58 des lokalen Netzes kann z. B. ein „Secure-Shell-Server“ (SSH-Server) sein, der eine Kommandozeilenschnittstelle bereitstellt, von der verschiedene Anwendungsprogramme aufgerufen und ausgeführt werden können. Andere Netzdienste enthalten unter anderem die gemeinsame Dateinutzung/Dateiunterstützung, den Nachrichtensofortversand, elektronische Post, Web-/HTTP-Unterstützung (Hypertext-Übertragungsprotokoll-Unterstützung). Die lokalen Daten 60 können dem Dienst 58 des lokalen Netzes zugeordnet oder anderweitig über den Dienst 58 des lokalen Netzes zugänglich sein. Im Kontext des „Secure-Shell-Servers“ können die lokalen Daten 60 verschiedene Dateien sein, die innerhalb des Dateisystems des Avionik-Systems 54 gespeichert sind.
  • Der Zugriff auf den Dienst 58 des lokalen Netzes und die lokalen Daten 60 kann auf die Anwender begrenzt sein, die einen richtigen Zugriffsberechtigungsnachweis, wie z. B. einen Benutzernamen und ein Kennwort, aufweisen. Die Validierung höherentwickelter Zugriffsberechtigungsnachweise, wie z. B. Einmalcodes oder Biometrie, kann außerdem erforderlich sein, bevor der Zugriff auf den Dienst 58 des lokalen Netzes erlaubt wird. Der Zugriffsberechtigungsnachweis kann über ein Endgerät oder eine Kommandozeilenschnittstelle bereitgestellt werden, die den Anwender auffordert, die erforderlichen Daten einzugeben. Dies ist jedoch lediglich beispielhaft und nicht einschränkend, wobei andere Modalitäten zum Bereitstellen des Zugriffsberechtigungsnachweises an die Stelle treten können.
  • Gemäß verschiedenen Ausführungsformen ist mit dem bordeigenen lokalen Netz 50 außerdem ein lokaler simulierter Server 62 verbunden, der vergegenwärtigt wird, dass er ungleich dem Avionik-System 54 einen tatsächlichen Netzdienst nachahmt, aber nicht verwendet wird, um einen tatsächlichen Netzdienst bereitzustellen. Der lokale simulierte Server 62 enthält eine Datennetzschnittstelle 64, die wie die Datennetzschnittstelle 56 die Hardware- und Software-Komponenten zum Verbinden mit dem bordeigenen lokalen Netz 50 enthält. Der lokale simulierte Server 62 enthält einen bordeigenen Netzdienstsimulator 66, der mit der Datennetzschnittstelle 56 verbunden ist, und nimmt ankommende Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von der angreifenden PED 18 an. Wie im Folgenden ausführlicher beschrieben wird, kann der bordeigene Netzdienstsimulator 66 in verschiedenen Weisen antworten, die den Angreifer von dem aktiven Dienst 58 des lokalen Netzes fehlleiten.
  • Der bordeigene Netzdienstsimulator 66 kann als eine sogenannte „Tarpit“ konfiguriert sein, wobei jeder Versuch, auf den lokalen simulierten Server 62 zuzugreifen, d. h., jedes Mal, wenn von der angreifenden PED 18 ein falscher Zugriffsberechtigungsnachweis präsentiert wird, die Antwort, die angibt, dass der Zugriffsberechtigungsnachweis falsch ist, nach einer vorgegebenen Verzögerung bereitgestellt wird. Diese Verzögerung kann mit jedem Zugriffsversuch zunehmend vergrößert werden. Dies ist beabsichtigt, um die Zeit eines Angreifers zu verschwenden, die im Kontext eines Fluges einer Fluglinie etwas begrenzt ist, wie oben erklärt worden ist. Es wird erkannt, dass jede Verzögerung, die dem Angreifer auferlegt wird, die Wahrscheinlichkeit eines erfolgreichen Angriffs verringert.
  • Beispielhaft kann der bordeigene Netzdienstsimulator 66 ein SSH-Endgerät/einen SSH-Server nachahmen. Bei einer derartigen Implementierung kann es zusätzlich eine Netzdienstschnittstelle 68 geben, die Befehlseingaben annimmt und Antworten darauf erzeugt. Eine Befehlseingabe kann eine Anforderung von Daten, z. B. der simulierten Daten 70, sein, die für den Angreifer den Anschein haben können, dass sie sensible Konto-/Kennwortdaten, Finanzunterlagen einschließlich Kreditkarteninformationen und begleitender persönlicher Informationen und dergleichen enthalten. Der Zugriff auf die simulierten Daten 70 über das Endgerät oder die Netzdienstschnittstelle 68 kann schließlich nach einer Anzahl fehlgeschlagener Zugriffsversuche bereitgestellt werden, ungeachtet dessen, welcher Zugriffsberechtigungsnachweis bereitgestellt wird. Das Erlauben des Zugriffs auf die simulierten Daten 70 ist beabsichtigt, um die Zeit und die Aufmerksamkeit des Angreifers weg von dem Dienst 58 des lokalen Netzes weiter fehlzuleiten und umzuleiten.
  • Alle Wechselwirkungen zwischen dem Angreifer und dem lokalen simulierten Server 62 können durch eine Zugriffsversuchs-Überwachungseinrichtung, die außerdem als eine lokale Überwachungseinrichtung 72 bezeichnet wird, überwacht und protokolliert werden. In dieser Hinsicht kann die lokale Überwachungseinrichtung 72 kommunikationstechnisch mit der Netzdienstschnittstelle 68 und dem bordeigenen Netzdienstsimulator 66 verbunden sein, wobei sie ein Sicherheitsverletzungsereignis für jede ankommende Zugriffsanforderung auf den bordeigenen Netzdienstsimulator 66 protokolliert. Zusätzlich können die Anforderungen für die simulierten Daten 70 über den bordeigenen Netzdienstsimulator 66 gleichermaßen als ein Sicherheitsverletzungsereignis protokolliert werden. Derartige protokollierte Sicherheitsverletzungsereignisse können sofort an einen bodengebundenen Sicherheitsmanager gesendet werden, der dem Satellitenkommunikations-Diensteanbieter 30 zugeordnet ist. Infolge der gefangenen Art der Passagiere in dem Luftfahrzeug 10 kann Sicherheits- und/oder Strafverfolgungspersonal deutlich vor der Ankunft zu dem Ziel entsandt werden.
  • Zusätzlich zum Fehlleiten des Angreifers zu den simulierten Daten 70 durch den lokalen simulierten Server 62 können außerdem die simulierten Daten 70 in das Avionik-System 54 geladen sein. Sollte der Angreifer beim Verletzen der vorhandenen Sicherheit des Avionik-Systems 54 Erfolg haben, kann eine Fehlleitung zu den simulierten Daten 70 verhindern, dass schädigende Handlungen in Bezug auf das Avionik-System 54 ausgeführt werden. Die simulierten Daten 70 können an Orten gespeichert sein, auf die während der Routineverwendung des Avionik-Systems 54 typischerweise nicht zugegriffen wird. Es kann eine Überwachungseinrichtung 74 geben, die alle Zugriffs- oder Datenwiedergewinnungs- oder Kopierversuche an diesen Orten protokolliert und in Reaktion darauf einen Alarm auslöst. In wenigstens einigen Konfigurationen des Systems ist es dem Angreifer erlaubt, einige oder alle der simulierten Daten 70 von dem simulierten Server 62 und/oder dem Avionik-System 54 herunterzuladen. Die simulierten Daten 70 können forensische und Verfolgungsinformationen enthalten, die in den simulierten Daten eingebettet sind, wie z. B. Webbeacons oder eindeutige Identifikationseigenschaften, die eine Fernverfolgung der simulierten Daten ermöglichen, nachdem sie heruntergeladen worden sind. Die forensischen und Verfolgungsinformationen, die in den simulierten Daten eingebettet sind, unterstützen die Verfolgung und die Identifikation der Angreifer.
  • In der graphischen Darstellung nach 3 kann der obenerwähnte lokale simulierte Server 62 als eine vor Ort auswechselbare Einheit 76 implementiert sein. Im Allgemeinen bestehen die Hardware-Komponenten des lokalen simulierten Servers 62 aus einem herkömmlichen Server-Computersystem, z. B. einem Prozessor mit einem Datenspeicher 80, um Daten und Software-Anweisungen, die durch den Prozessor 78 auszuführen sind, vorübergehend zu speichem, und einer Speichervorrichtung 82 zur langfristigen Speicherung derselben. Es wird erkannt, dass die durch den Prozessor 78 ausgeführten Software-Anweisungen sowohl jene des lokalen simulierten Servers 62 als auch die zugrundeliegende Betriebssystem-Software, Treiber-Software usw. sind. Es kann außerdem eine Netzschnittstellenkarte 84 geben, die eine Verbindung mit dem bordeigenen lokalen Netz 50 herstellt. Die Leistung und die Erdung für die elektrischen Komponenten können durch eine Leistungsversorgung 86 bereitgestellt werden. Diese Grundkomponenten können an einer (nicht gezeigten) Hauptplatine, wie z. B. einer Leiterplatte, die in einem Gehäuse untergebracht ist, angebracht und mit ihr verbunden sein.
  • Die vor Ort auswechselbare Einheit 76 ist für eine Modularität und einen einfachen und schnellen Austausch konfiguriert. Es wird erkannt, dass für diesen Zweck sowohl der physische Formfaktor des Gehäuses als auch die elektrischen Verbindungen standardisiert sind. Es werden mehrere derartige Standards in den in Luftfahrzeugen installierten vor Ort auswechselbaren Einheiten umfassend verwendet, einschließlich der Standards der ARINC-700-Serie (ARINC - Aeronautical Radio, Incorporated). Es gibt verschiedene Montagepunkte für die vor Ort austauschbaren Einheiten innerhalb des Rumpfs 12 des Luftfahrzeugs 10. Es wird erkannt, dass jede vor Ort austauschbare Einheit 76 an einem einzelnen Fach 88 angebracht sein kann, wobei mehrere Fächer an einer Befestigungsstruktur 90 befestigt sind. Die Durchschnittsfachleute auf dem Gebiet erkennen die verschiedenen möglichen Strukturen, an denen ein Schrank der Fächer angebracht sein kann.
  • Das Fach 88 ist gleichermaßen ausgelegt und konfiguriert, die vor Ort auswechselbare Einheit 76 aufzunehmen. Die Netzverbindung und die Leistungsverbindung und andere Verbindungen zwischen der vor Ort auswechselbaren Einheit 76 und dem Fach 88 können in einer einzigen Buchse 91 und einem einzigen Stecker 92 mit mehreren Leitungen vereinigt sein, von denen jede einer spezifischen Verbindung entspricht. Verschiedene Standards regeln außerdem die Konfiguration derartiger Buchsen 9 und Stecker 92, wobei erkannt wird, dass jede verwendet werden kann.
  • Es werden mehrere Vorteile für das Implementieren des lokalen simulierten Servers 62 als eine selbstständige vor Ort auswechselbare Einheit 76 vergegenwärtigt. In einer typischen Installation des IFEC-Systems 20 kann es eine Anzahl offener Fächer 88 geben, in denen eine dedizierte vor Ort auswechselbare Einheit 76 für den lokalen simulierten Server 62 untergebracht sein kann, anstelle die vorhandenen Komponenten des IFEC-Systems 20 neu zu konfigurieren, um den lokalen simulierten Server 62 zu implementieren. Dass der lokale simulierte Server 62 separat von den anderen Teilen des IFEC-Systems 20 installiert ist, unterstützt es zusätzlich im Fall einer Störung oder des Anziehens zahlreicher Angriffsversuche, den lokalen simulierten Server 62 zu isolieren, wobei es die Sicherheitsauswirkung auf das Luftfahrzeug 10 erheblich verringert. Alternativ kann die vor Ort auswechselbare Einheit 76 als ein System konfiguriert sein, das in einer virtuellen Maschine in dem IFEC-System 20 ausgeführt wird. Dies hat den Vorteil, dass es weniger Hardware erfordert, während die simulierte vor Ort auswechselbare Einheit in einer virtuellen Betriebsumgebung entfernt von dem tatsächlichen System isoliert ist. VirtualBox VMWare, QEMU oder andere bekannte Virtualisierungsanwendungen können verwendet werden, um die vor Ort auswechselbare Einheit 76 als ein in einer virtuellen Maschine ausgeführtes System zu konfigurieren.
  • Zurück zu dem Blockschaltplan nach 2 ist es möglich, dass der Angreifer bei der Suche nach anderen zu verletzenden Systemen über das bordeigene lokale Netz 50 hinausgeht. Wie oben erörtert worden ist, kann das Luftfahrzeug 10 mit dem Satellitenkommunikationsmodul 24 ausgerüstet sein, das über den Kommunikationssatelliten 28 eine Verbindung zu der Bodenstation oder dem Satellitenkommunikation-Diensteanbieter 30 aufbaut. Die Bodenstation weist ein Bodennetz 94 auf, mit dem verschiedene aktive Netzdienste verbunden sind. Beispielhaft kann dies ein entfernter Server 96 mit einer Datennetzschnittstelle 98 sein, die den entfernten Server 96 mit dem Bodennetz 94 verbindet. Der entfernte Server 96 enthält einen entfernten Netzdienst 100, ein Beispiel dessen ist ein weiterer SSH-Server mit einer Kommandozeilenschnittstelle, von der andere Software-Anwendungen Dateien, die in dem Dateisystem gespeichert sind, z. B. die entfernten Daten 102, wiedergewinnen und beeinflussen. Der Zugriff auf den entfernten Netzdienst 100 und die entfernten Daten 102 kann auf die Anwender begrenzt sein, die den richtigen Zugriffsberechtigungsnachweis, wie z. B. die obenerwähnte Benutzernamen- und Kennwortkombination, aufweisen.
  • Es wird ein bodengebundener entfernter simulierter Dienst 104 vergegenwärtigt, um den Angreifer weg von dem entfernten Server 96 fehlzuleiten. Es ist möglich, dass sich ein Angreifer in dem Luftfahrzeug 10 mit dem bordeigenen lokalen Netz 50 verbindet und dann versucht, eine Verbindung mit den Knoten in dem Bodennetz 94 oder hilfsweise mit einem anderen Luftfahrzeug durch das anschließende Verbinden mit einem anderen bordeigenen lokalen Netz von dem Bodennetz 94 herzustellen. Der entfernte simulierte Dienst 104 kann außerdem die Angriffe von anderen bodengebundenen Angreifern, die vom Internet 36 eine Verbindung herstellen, einladen.
  • Ähnlich zu dem lokalen simulierten Server 62 weist der entfernte simulierte Dienst 104 die Hardware- und Software-Komponenten zum Verbinden mit dem Bodennetz 94 auf, die im Allgemeinen als die Datennetzschnittstelle 106 bezeichnet werden können. Der entfernte simulierte Dienst 104 enthält gleichermaßen einen entfernten Netzdienstsimulator 108, der mit der Datennetzschnittstelle 106 verbunden ist und die ankommenden Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von der angreifenden PED 18 annimmt.
  • Der entfernte Netzdienstsimulator 108 kann als eine „Tarpit“ konfiguriert sein, in der den Versuchen, auf dieselbe zuzugreifen, nach einer vorgegebenen Verzögerung eine Antwort entgegengebracht wird, die angibt, dass der Zugriffsberechtigungsnachweis falsch ist. Diese Verzögerung kann bei jedem Zugriffsversuch zunehmend vergrößert werden. Dies lenkt den Angreifer ab und zwingt den Angreifer, die begrenzte verfügbare Zeit zu verschwenden, wobei jede Verzögerung beabsichtigt ist, um die Chancen des Erfolgs zu verringern.
  • Der entfernte Netzdienstsimulator 108 kann außerdem ein SSH-Endgerät/einen SSH-Server nachahmen, wobei erkannt wird, dass er eine entfernte Netzdienstschnittstelle 110 ist, die Befehlseingaben annimmt und Antworten darauf erzeugt. Eine Befehlseingabe kann eine Anforderung von Daten, z. B. der simulierten Daten 112, sein, die für den Angreifer den Anschein haben können, dass sie sensible Daten enthalten, aber in Wirklichkeit gefälscht sind. Der Zugriff auf die simulierten Daten 112 über das Endgerät oder die entfernte Netzdienstschnittstelle 110 kann schließlich nach einer Anzahl gescheiterter Zugriffsversuche bereitgestellt werden, was die Zeit und die Aufmerksamkeit des Angreifers weiter fehlleiten und ablenken kann.
  • Alle Wechselwirkungen zwischen dem Angreifer und dem entfernten Netzdienstsimulator 108 können durch eine entfernte Überwachungseinrichtung 114, die mit der entfernten Netzdienstschnittstelle 110 und dem entfernten Netzdienstsimulator 108 verbunden ist, überwacht und protokolliert werden. Die Anforderungen für die simulierten Daten 112 über den entfernten Netzdienstsimulator 108 können als ein Sicherheitsverletzungsereignis protokolliert werden. Derartige protokollierte Sicherheitsverletzungsereignisse können verwendet werden, um den bodengebunden Sicherheitsmanager zu alarmieren. Die simulierten Daten 112 können in dem entfernten Netzdienst 100 gespeichert und von dem entfernten Netzdienst 100 zugänglich sein, wobei sie aber andernfalls an einem Ort gespeichert sind, auf den während der normalen Verwendung typischerweise nicht zugegriffen wird. Eine separate Überwachungseinrichtung kann den Zugriff auf diesen Ort des Dateisystems überprüfen und irgendwelche Versuche als potentielle Sicherheitsverletzungen geeignet protokollieren.
  • In Übereinstimmung mit einer bevorzugten, jedoch optionalen Ausführungsform kann der entfernte simulierte Dienst 104 im Zusammenhang mit dem lokalen simulierten Server 62 verwendet werden. Ohne den lokalen simulierten Server 62 würde der Angreifer wahrscheinlicher die Anstrengungen gegen den entfernten simulierten Dienst 104 richten und teuren zusätzlichen Satellitendatenverkehr erzeugen. Weiterhin können die zusätzliche Zeit, die notwendig ist, um die Befehle und die anderen Daten bezüglich des Angriffs zu übertragen und dann die Antwort darauf zu übertragen, d. h., die durch die Satellitenverbindungen verursachte Umlauf-Paketverzögerung, die Anstrengungen, um den Angreifer fehlzuleiten, unzureichend sein, da es leichter ist, zu folgern, dass sich das Zielsystem nicht an Bord des Luftfahrzeugs 10 befindet. Es ist jedoch ausdrücklich beabsichtigt, dass der lokale simulierte Server 62 allein ohne den entfernten simulierten Dienst 104 eingesetzt werden kann.
  • Die hier gezeigten Einzelheiten sind lediglich beispielhaft für die Zwecke einer veranschaulichenden Erörterung und sind für das Bereitstellen dessen dargestellt, was als die nützlichste und leicht verständliche Beschreibung der Prinzipien und konzeptionellen Aspekte der verschiedenen Ausführungsformen des Systems zum Fehlleiten von Netzsicherheitsangriffen angenommen wird, das in der vorliegenden Offenbarung dargelegt ist. In dieser Hinsicht wird kein Versuch unternommen, noch weitere Einzelheiten zu zeigen, als für ein grundlegendes Verständnis der verschiedenen Merkmale der verschiedenen Ausführungsformen notwendig ist, wobei die Beschreibung zusammengenommen mit den Zeichnungen es für die Fachleute auf dem Gebiet offensichtlich macht, wie diese in der Praxis implementiert werden können.

Claims (9)

  1. System zum Fehlleiten von Netzsicherheitsangriffen an Bord eines Fahrzeugs, wobei das System Folgendes umfasst: eine Datennetzschnittstelle, die mit einem lokalen Netz des Fahrzeugs verbunden ist, wobei eine oder mehrere Client-Vorrichtungen mit dem lokalen Netz verbindbar sind; einen bordeigenen Netzdienstsimulator, der mit der Datennetzschnittstelle verbunden ist, wobei der bordeigene Netzdienstsimulator ankommende Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von einer Client-Vorrichtung des Angreifers annimmt und darauf antwortet; eine simulierte Dienstanwenderschnittstelle, die bei einer Annahme des Zugriffsberechtigungsnachweises Befehlseingaben annimmt, die den Anforderungen entsprechen, auf einen simulierten Datensatz zuzugreifen; und eine Zugriffsversuchs-Überwachungseinrichtung, die mit dem bordeigenen Netzdienstsimulator und der simulierten Dienstanwenderschnittstelle in Verbindung steht, wobei die Zugriffsversuchs-Überwachungseinrichtung ein Sicherheitsverletzungsereignis für jede ankommende Zugriffsanforderung auf den bordeigenen Netzdienstsimulator und die Befehlseingaben für die Anforderungen, auf den simulierten Datensatz zuzugreifen, erfasst.
  2. System nach Anspruch 1, das wenigstens eines der folgenden Merkmale enthält: a) der bordeigene Netzdienstsimulator antwortet auf die ankommenden Zugriffsanforderungen entweder mit einer simulierten Zugriffsverweigerungsantwort oder einer simulierten Zugriffsgewährungsantwort, wobei die Verzögerungen zwischen dem Empfang der Zugriffsanforderung und der Zugriffsverweigerungsantwort bei jeder Präsentation eines falschen Zugriffsberechtigungsnachweises von der Client-Vorrichtung des Angreifers für den bordeigenen Netzdienstsimulator zunehmend vergrößert werden und bei der Zugriffsgewährungsantwort der Zugriff auf den simulierten Datensatz erlaubt wird; b) ein oder mehrere Überwachungseinrichtungen der entsprechenden authentischen Netzdienste, die mit dem lokalen Netz verbunden sind, wobei rechtmäßige und bösartige Zugriffsversuche auf einen der authentischen Netzdienste durch die jeweilige Überwachungseinrichtung der Überwachungseinrichtungen verfolgt werden, wobei die Überwachungseinrichtungen Datensätze der überwachten Ereignisse für die spätere Wiedergewinnung von dem Fahrzeug sammeln; c) der simulierte Datensatz ist von den authentischen Netzdiensten zugänglich; d) der simulierte Datensatz enthält Konto- und Kennwortdaten; e) der simulierte Datensatz enthält Finanzkontodaten; f) der Netzdienst ist ein „Secure-Shell-Server“ (SSH-Server); g) die Datennetzschnittstelle und der bordeigene Netzdienstsimulator sind in einer selbstständigen vor Ort auswechselbaren Einheit implementiert.
  3. System nach einem der Ansprüche 1 oder 2, das ferner umfasst: einen entfernten Netzdienstsimulator, der mit der Datennetzschnittstelle in Verbindung steht, wobei der entfernte Netzdienstsimulator ankommende Fernzugriffsanforderungen, die von einem Fernzugriffs-Berechtigungsnachweis begleitet werden, von der Client-Vorrichtung des Angreifers annimmt und entweder mit einer simulierten Fernzugriffs-Verweigerungsantwort oder einer simulierten Fernzugriffs-Gewährungsantwort darauf antwortet, der bevorzugt ferner enthält: eine drahtlose Kommunikationsschnittstelle, die mit der Datennetzschnittstelle verbunden ist, wobei eine drahtlose Kommunikationsverbindung zu einer Netzschnittstelle nicht des Fahrzeugs dadurch aufgebaut wird, wobei der entfernte Netzdienstsimulator mit der Kommunikationsschnittstelle nicht des Fahrzeugs verbunden ist; und/oder wobei das System ferner konfiguriert ist, so dass die Verzögerungen zwischen dem Empfang der Fernzugriffsanforderung und der Fernzugriffs-Verweigerungsantwort bei jeder Präsentation eines falschen Fernzugriffs- Berechtigungsnachweises von der Client-Vorrichtung des Angreifers für den entfernten Netzdienstsimulator zunehmend vergrößert werden, wobei die Fernzugriffs-Gewährungsantwort den Zugriff auf einen entfernten simulierten Datensatz erlaubt.
  4. Vor Ort auswechselbare Einheit zur Netzsicherheitsangriffsfehlleitung zur Installation in einem Luftfahrzeug und zur Verbindung mit einem bordeigenen Datennetz, wobei die vor Ort auswechselbare Einheit umfasst: eine Schnittstelle eines lokalen Netzes zu dem bordeigenen Datennetz; und eine Datenverarbeitungsvorrichtung, die eine Folge im Voraus programmierter Anweisungen eines lokalen Simulations-Servers ausführt, der ankommende Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von einer Client-Vorrichtung eines Angreifers annimmt und darauf entweder mit einer simulierten Zugriffsverweigerungsantwort oder einer simulierten Zugriffsgewährungsantwort antwortet, wobei die Verzögerungen zwischen dem Empfang der Zugriffsanforderung und der Zugriffsverweigerungsantwort bei jeder Präsentation eines falschen Zugriffsberechtigungsnachweises von der Client-Vorrichtung des Angreifers für den lokalen Simulations-Server zunehmend vergrößert werden und bei der Zugriffsgewährungsantwort der Zugriff auf einen simulierten Datensatz erlaubt wird.
  5. Vor Ort auswechselbare Einheit nach Anspruch 4, die wenigstens eines der folgenden Merkmale enthält: a) die Datenverarbeitungsvorrichtung führt eine andere Folge von im Voraus programmierten Anweisungen einer entfernten Simulations-Server-Schnittstelle aus, die dafür ausgelegt ist, die ankommende Zugriffsanforderungen zu einem entfernten Simulations-Server weiterzuleiten; b) ein Leistungsversorgungsmodul, das eine ankommende Leistungsbusverbindung und einen Leistungsverteiler enthält, die mit dem jeweiligen Leistungsversorgungsmodul der lokalen Netzschnittstelle und der Datenverarbeitungsvorrichtung verbunden sind; c) ein Gehäuse mit einer Dimensionskonfiguration, die einem vorgegebenen Standard der vor Ort auswechselbaren Einheit entspricht, wobei die lokale Netzschnittstelle und die Datenverarbeitungsvorrichtung innerhalb des Gehäuses untergebracht sind; d) wobei der lokale Simulations-Server dafür ausgelegt ist, einen „Secure-Shell-Server“ (SSH-Server) nachzuahmen.
  6. System zum Fehlleiten eines Angriffs, der von einem Knoten ausgeht, der mit einem fahrzeugbasierten lokalen Netz mit einer Kommunikationsverbindung zu einem entfernten Netz verbunden ist, wobei das System umfasst: eine Schnittstelle eines lokalen Netzes zu dem fahrzeugbasierten lokalen Netz; eine Schnittstelle des entfernten Netzes, die die Kommunikationsverbindung zwischen dem fahrzeugbasierten lokalen Netz und dem entfernten Netz aufbaut; einen lokalen Simulations-Server, der ankommende lokale Zugriffsanforderungen, die von einem Zugriffsberechtigungsnachweis begleitet werden, von dem angreifenden Knoten annimmt und mit einer simulierten lokalen Zugriffsverweigerungsantwort mit zunehmend längeren Verzögerungen zwischen dem Annehmen der ankommenden lokalen Zugriffsanforderungen auf sie antwortet; und einen entfernten Simulations-Server, der die ankommenden Fernzugriffsanforderungen annimmt, die durch die Schnittstelle des entfernten Netzes über die Kommunikationsverbindung weitergeleitet werden, und der auf die ankommenden Fernzugriffsanforderungen mit einer simulierten Fernzugriffsverweigerungsantwort mit zunehmend längeren Verzögerungen zwischen dem Annehmen der ankommenden Fernzugriffsanforderungen antwortet.
  7. System nach Anspruch 6, wobei der Zugriff auf einen simulierten Datensatz, der in einem entsprechenden des lokalen Simulations-Servers und des entfernten Simulations-Servers gespeichert ist, in Reaktion auf einen richtigen Zugriffsberechtigungsnachweis, der empfangen wird, bereitgestellt wird.
  8. System nach einem der Ansprüche 6 bis 7, wobei die entfernte Netzschnittstelle wenigstens eines von einem Satellitenkommunikationsmodul und einem Modul für die direkte Luft-Boden-Datenkommunikation ist.
  9. System nach einem der Ansprüche 6 bis 8, wobei der lokale Simulations-Server und der entfernte Simulations-Server jeder ein „Secure-Shell-Server“ (SSH-Server) sind.
DE102019122817.4A 2018-08-29 2019-08-26 Netzwerk-Sicherheitsangriffs-Fehlausrichtung auf einem Transportfahrzeug Pending DE102019122817A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/115,948 US11451586B2 (en) 2018-08-29 2018-08-29 Network security attack misdirection on a transport vehicle
US16/115,948 2018-08-29

Publications (1)

Publication Number Publication Date
DE102019122817A1 true DE102019122817A1 (de) 2020-03-05

Family

ID=69526810

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019122817.4A Pending DE102019122817A1 (de) 2018-08-29 2019-08-26 Netzwerk-Sicherheitsangriffs-Fehlausrichtung auf einem Transportfahrzeug

Country Status (3)

Country Link
US (1) US11451586B2 (de)
CN (1) CN110875926A (de)
DE (1) DE102019122817A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11523267B2 (en) * 2021-03-29 2022-12-06 Thales Avionics, Inc. Providing aircraft in flight roaming for passenger electronic devices to home mobile network operator
CN113660261A (zh) * 2021-08-13 2021-11-16 北京天融信网络安全技术有限公司 攻击者信息获取方法、装置、电子设备及存储介质
US20230070608A1 (en) * 2021-09-08 2023-03-09 Thales Avionics, Inc. Real-time cybersecurity monitoring of inflight entertainment systems

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2441229B1 (de) 2009-06-11 2020-05-06 Panasonic Avionics Corporation System und verfahren zur bereitstellung von sicherheit auf einer beweglichen plattform
FR2954026B1 (fr) * 2009-12-16 2012-11-30 Airbus Operations Sas Systeme et procede de simulation ou de test exploitant des donnees issues de ports de surveillance
US10257215B2 (en) 2015-05-08 2019-04-09 Panasonic Avionics Corporation Identifying and disabling a rogue access point in a public wireless environment
US9938019B2 (en) * 2015-05-21 2018-04-10 The Boeing Company Systems and methods for detecting a security breach in an aircraft network
US9591009B2 (en) * 2015-08-06 2017-03-07 The Boeing Company Air-based and ground-based security information and event management system
US10142365B2 (en) 2016-01-22 2018-11-27 The Boeing Company System and methods for responding to cybersecurity threats
US10147248B2 (en) * 2016-03-18 2018-12-04 Vivokey Technologies Inc. In vivo identity and security application implant and method
US10432612B2 (en) * 2016-10-27 2019-10-01 Panasonic Avionics Corporation Methods and systems for remote access to a transporation vehicle system
US20180375897A1 (en) * 2017-06-26 2018-12-27 Formaltech, Inc. Automated network device cloner and decoy generator

Also Published As

Publication number Publication date
US20200076849A1 (en) 2020-03-05
US11451586B2 (en) 2022-09-20
CN110875926A (zh) 2020-03-10

Similar Documents

Publication Publication Date Title
DE60209913T2 (de) Netzwerksicherheitsarchitektur für eine mobile netzwerkplattform
DE102019122817A1 (de) Netzwerk-Sicherheitsangriffs-Fehlausrichtung auf einem Transportfahrzeug
DE102018007534A1 (de) Zeitgebundener sicherer Zugang
US20030027550A1 (en) Airborne security manager
DE102011122461A1 (de) Zugangssystem für ein Fahrzeug und Verfahren zum Verwalten des Zugangs zu einem Fahrzeug
CN101931626B (zh) 远程控制过程中实现安全审计功能的服务终端
EP2820816B1 (de) Authentifizierungsverfahren für einen passagier und korrespondierende software
DE102009040477A1 (de) Authentifizierung im Mobilfunknetz durch Authentifizierungszelle
DE102017124441A1 (de) Verfahren und Systeme für den Fern-Zugang zu einem Transportfahrzeug-System
DE102020107609A1 (de) Virtualisierung von komplexen vernetzten eingebetteten Systemen
DE112018004465T5 (de) Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen
Riikonen Decide, disrupt, destroy
DE102017115187A1 (de) Verfahren und Systeme zur Authentifizierung eines Kopfhörers für ein Transportfahrzeug
CN105763527A (zh) 用于已连接的飞行器的安全体系
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
DE102017006572A1 (de) Verfahren zum Schutz eines vernetzten militärischen Systems
DE102012200487A1 (de) Bordkommunikationsgerät und -system für eine Kabine eines Fahrzeugs
EP3769554B1 (de) Verfahren und system zur autorisierung der kommunikation eines netzwerkknotens
WO2023038953A1 (en) Real-time cybersecurity monitoring of inflight entertainment systems
DE102014112466A1 (de) Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE102017217475A1 (de) Automatisierte Lieferung von Sicherheitsreferenzen an geplante Besatzung
EP3389238B1 (de) Verfahren zum schutz eines vernetzten militärischen systems
DE112021004154T5 (de) Fahrzeuginternes System zum Überwachen von Fahrten eines Mobilitätsdienstleisters
Fabre et al. Designing secure prisoner computer systems
DE102020100326A1 (de) Vernetzungsverfahren und Systeme für Transportvehikelunterhaltungssysteme