Seorang peneliti security berhasil mendapatkan source code (atau deretan teks yang menyusun sebuah program) dari pesawat Boeing 737. Berdasarkan file penting ini, peneliti tersebut mengklaim menemukan lubang keamanan di dalam software yang bisa berujung pembajakan pesawat.
Sang peneliti, Ruben Santamarta, selama ini memang tertarik dengan keamanan software di pesawat. Pada September 2018 lalu, pria yang bekerja di perusahaan security IOActive ini secara tidak sengaja menemukan file penting Boeing 737 yang tersimpan tanpa proteksi di sebuah cloud server.
File tersebut berisi source code untuk software Crew Information Service/Maintenance System (CIS/MS) yang mengelola data seputar penerbangan, dokumen navigasi, serta manual yang digunakan pilot.
Sebagai informasi, software di pesawat Boeing terdiri dari tiga layer jaringan. Layer pertama dinamakan Open Data Network yang mengatur software yang relatif tidak krusial seperti in-flight entertainment.
Layer kedua disebut Isolated Data Network yang mengelola software untuk kru, termasuk CIS/MS ini. Sedangkan layer ketiga adalah Common Data Network alias jaringan aviasi. Jaringan ini terbilang paling krusial mengelola software untuk membaca sensor dan mengatur gerakan pesawat.
Karena yang bocor adalah software layer kedua, sebenarnya source code yang ditemukan Santamarta ini terbilang tidak terlalu berbahaya. Namun Santamarta mengaku menemukan lubang keamanan di software CIS/MS ini. Lubang keamanan ini memungkinkan seseorang untuk masuk dari jaringan in-flight entertainment ke jaringan CIS/MS, bahkan ke jaringan ketiga yang mengatur gerak pesawat.
Dengan kata lain, seorang hacker yang menyamar sebagai penumpang bisa menerobos masuk jaringan di dalam pesawat dan mengendalikan pesawat tersebut dari kursi penumpang.
Tanggapan Boeing
Boeing sendiri langsung membantah temuan ini. Boeing memang mengakui, terjadi kelalaian yang mengakibatkan file berisi source code CIS/MS bocor di internet. Namun Boeing menyebut, software CIS/MS digunakan di jaringan layer kedua yang tidak berhubungan langsung jaringan aviasi pesawat. “Skenario yang dikemukakan IOActive (tempat Santamarta bekerja, red) tidak mungkin terjadi” ungkap juru bicara Boeing.
Alasannya, arsitektur jaringan aviasi di dalam pesawat memiliki mekanisme perlindungan berbasis hardware dan software. Dengan dua perlindungan tersebut, Boeing meyakini sistem aviasi di dalam pesawat tidak mungkin dikendalikan dari jauh. Mereka bahkan telah melakukan tes khusus untuk mengkonfirmasi kemungkinan teori Santamarta bisa dilakukan. Hasilnya, tidak ditemukan celah keamanan yang perlu dikhawatirkan.
Santamarta sendiri mengakui, temuannya tersebut hanya secara teori. Ia tidak bisa menguji temuan tersebut karena tidak mendapatkan akses untuk mengujinya secara langsung di pesawat Boeing 787.
Boeing sendiri memberi kepastian, saat ini source code tersebut sudah aman tersimpan. Lubang keamanan yang ditemukan oleh Santamarta juga telah diperbaiki.
Semoga saja, kekhawatiran sebuah pesawat dibajak hanya menggunakan software tidak akan pernah terjadi.