媒體老師,航空公司沒有那麼脆弱_風聞
李及李-李及李数据分析公司创始人-数据驱动,分析导向, 为航空和汽车竭尽全力。2021-08-18 11:38
文 | 李瀚明一李及李
今天早上例行看本地新聞,發現一則新聞:「買不到機票回國找黑客攻擊航空公司」。好傢伙,哪家航空公司咁黑麪被人黑咗?
翻開來一看,這稿子真是寫得非常離譜,行文把這家航空公司和中國民航的信息安全能力黑得一塌糊塗,搞得像是這家公司的 IT 系統是紙糊的一樣。作為一名在海外天天和航司的計算機系統打交道的人,有必要幫這家可憐的航空公司站出來説説話了。
# 充滿疑竇的新聞稿
這篇稿子在不同媒體有多個版本,但最初的來源有三個,都是本地媒體:
1. 廣州日報(https://news.dayoo.com/guangzhou/202108/16/139995_54020982.htm,“當地疫情非常嚴重!”自己發燒女友懷孕,17歲少年買不到回國機票竟…法院判了)
2. 羊城晚報(http://news.ycwb.com/2021-08/16/content_40208186.htm,後修改為 http://news.ycwb.com/2021-08/17/content_40208873.htm)
3. 南方都市報(https://m.mp.oeeee.com/a/BAAFRD000020210816567103.html)
這三個版本的共同特點是對於被告人的描述非常離譜,讀來令人哭笑不得:
* 三家媒體同時提及「本案中,根據小陳的供述,其上完小學三年級後便輟學打工,自15歲起自學數字貨幣開發、大數據、區塊鏈技術、人工智能,本是一名努力上進的青少年,但卻因為圖一時之快“泄憤”,觸犯法律,耽誤大好前程。法庭上,小陳有悔罪態度,怪自己年幼無知。」,南方都市報沒有提及「上完小學三年級後便輟學打工」一句,其它大體相同。
* 廣州日報提及「落網後,小陳聲稱,當時人在國外,疫情非常嚴重,自己年紀小又發燒,害怕被感染。加之女朋友懷孕,壓力較大,因此特別想回國。在購買機票失敗後,情緒低落,心情焦慮,一時衝動,才充值購買境外網站攻擊套餐,沒有想到後果。對於自己的行為,他感到非常後悔!如果能與航空公司達成和解,願意繼續賠償。」
兩者綜合可以發現,這位小陳同學簡直是舉世罕見:
1. 小學三年級輟學打工;
2. 15 歲自學數字貨幣開發、大數據、區塊鏈、人工智能;
3. 女朋友懷孕;
筆者知道這三點同時達到有多難。與其相信這位小陳同學天賦異稟舉世罕見,筆者更傾向於相信要麼這位小陳同學對警察和法官以瞎扯一通的形式做了偽證,要麼媒體出於某種目的對他的信息添油加醋了。
# 被黑的範圍有那麼大嗎?
同時,受害情況的供述也是疑點叢生:「據介紹,此次黑客入侵,造成某航空公司對外服務網絡全部癱瘓,包括客票業務、微信直播平台銷售、機場旅客服務、飛行、運控等系統無法正常運作,導致為5000餘萬用户提供服務的客票等計算機系統不能正常運行達4小時,給某航空公司造成了巨大經濟損失與負面網絡輿論評價。」
好傢伙,這篇報道估計本身就會給航司帶來「負面網絡輿論評價」……如果哪家航空公司的系統真的被這麼黑進去了,那會成為國家安全問題的。事實上,作為民航 IT 界人士,這篇文章發佈以後我接到不少朋友,詢問中國民航 IT 系統的可靠性,甚至還有「它説飛行系統無法正常運作,飛機會不會飛着飛着就癱瘓啊?」這樣的問題。這樣的問題,顯示出新聞已經對聽眾對民航的印象帶來了負面的影響這一事實。
看過筆者《雲上的星星——星盟 AWS 遷移》系列文章的讀者可能知道,航空公司內部的系統普遍實施安全分級制度。按照可訪問性一般分為三類:
1. 旅客可讀可寫(客票業務系統中的個人信息部分);
2. 旅客可讀不可寫(客票業務系統中的航班信息部分);
3. 旅客不可讀不可寫(例如飛行和運行控制系統);
三個系統互為孤島,通過 API 網關按一定格式傳遞信息。例如,旅客購票的時候寫入的個人信息,被個人信息處理系統單向傳遞給航班信息處理系統。航班信息處理系統彙總旅客購票列表之後將其單向傳給籤派系統負責配載平衡。
這種單向傳遞擁有完善的白名單機制(必須由指定的系統發出的報文才能被接受)。一般而言,實施這種白名單機制最簡單的方法是物理隔離「拉專線」。例如,筆者曾經服務過的一家外國航司,將客票業務系統的個人信息部分放置在 AWS 公有云上並開放對外訪問,將航班信息部分放在 AWS 私有云上,而將飛行和運行控制系統放在公司總部內的私有集羣上。三者之間通過專線聯繫,航班信息系統和飛行運控系統不接入互聯網。
國內也有類似的機制——例如政府機關使用「互聯網、政務外網、政務專網、政務內網」四層網絡系統。根據法院向媒體發佈的證據頁面照片,被告人攻擊的是航空公司官網的訂票網關和支付網關。訂票網關負責處理旅客的個人信息(包括旅客對航班的需求、旅客的證件等),支付網關負責處理旅客付款(信用卡、手機掃碼支付的各項信息),一般而言屬於第一層(旅客可讀可寫)的系統,與航班信息系統、飛行運控系統都是嚴格隔離的。
事實上,假如飛行和運控系統受到影響,那航空公司的時刻表會大亂套的;假如旅客服務系統受到影響,那旅客會無法辦理登機牌等值機手續,機場會大亂套的(之前南京機場就出過由於旅客服務系統出問題導致旅客滯留機場的新聞)。但事實上,在事故發生時的去年 6 月 10 日,國內各家航司都好好地進行着本職工作,顯示出各家航空公司的飛行、運控、旅客服務等系統,並沒有受到明顯的攻擊影響。
另外一提的是,訂票網關和支付網關屬於接觸旅客個人信息的系統,各航空公司對其都有嚴格的保護措施,守口如瓶般保障旅客和貨主的個人隱私。在受到攻擊的時候,良好實現的訂票網關和支付網關應該只會停止服務,而不會在漏洞中泄露個人信息。這次的判決書反映的事實確實如此——航空公司的支付網關除了停止服務之外,沒有造成更嚴重的後果,説明系統本質還是值得信賴的。
# 這件事的本質是什麼?
這件事的本質其實很簡單——其實就是搶票而已。法院提到這個人 6 月 10 日對目標航空公司實施攻擊,7 月初回國解除隔離後被抓。這個人很快就被抓的原因非常簡單——購買國際機票要護照的,搶票時候如果不提交自己的個人信息,這票怎麼買呢?
根據原文,這位被告回國十分心切。因此,通過 DDoS 攻擊使得航空公司停止服務,「空機回國」對他沒有好處——他買不到票,就算有位置也回不了國。因此,他發起 DDoS 時,一定包含了自己的個人信息——也就是在重複提交購票請求,這樣一旦哪位旅客退票放出空位,就可以買到機票了。但是,以這樣的形式頻繁地將自己的全套實名身份信息發給航空公司,這不是承認「我就是攻擊你的犯人」嘛。
而且更離譜的是,被告人在攻擊完這家應該是位於廣州的航空公司(破壞計算機信息系統罪一般以犯罪結果地作為優先管轄地,因此結果地的廣州市白雲區可視為航空公司的所在地)之後,還敢大搖大擺地飛回廣州——很可能還是坐的這家航空公司的航班。同時,他甚至還向這家航空公司發送威脅郵件——甚至可能是用和接受訂票確認信的同一個郵箱發的。
好傢伙,這妥妥是被「蜜罐」戰術逮到了嘛——我知道你在攻擊我,我先請君入甕,讓你坐着我們的飛機回國,之後再甕中捉鱉,等你解除隔離的時候逮捕你。年輕人還是 too young too simple, sometimes naive 啊。
# 總結:為了做新聞而做新聞不可取
我在這裏想同這幾家媒體「講多聲」。如果説「銷售系統不能運作」還是業內可以確認的事實的話,「機場旅客服務、飛行、運控等系統無法正常運作」談何説起?2020 年 6 月 10 日當天全國航班飛行運行安全、正常,也沒有哪家機場出現旅客服務癱瘓的現象,敢問從哪裏可以看到「機場旅客服務、飛行、運控等系統無法正常運作」這樣的情況?
作為專業人士還想講多一句——在這樣的行業性新聞之前,求證業內人士是有必要的。就算航空公司出於同行關係不便發言,中國也有很多做航空 IT 的乙方和熟悉 IT 系統的工程師,可以對此做出客觀的分析。不經求證就報道新聞,和造謠無甚分別。
同時,作為社會一員我還想多説一句。在這樣的新聞裏強調被告人的身份,與讓被告人「社會性死亡」並無區別——雖然法院會保護被告人的個人信息,但被告人在羈押場所派發的報紙上讀到這篇報道,被告人的家屬在網上讀到這篇報道,想必心情不會好受。
言辭如刀。稍有不甚,就會給相關的人帶來巨大的影響。中國民航業需要做大量的工作,重新建立公眾對我們的信息安全工作的信任;而被告人和家屬在重歸社會以後,也需要大量的時間才能擺脱社會對他的譏諷和嘲笑。
「搞個大新聞,把民航業這樣批判一番」,這樣的操作實在是不可取的。