Det amerikanske luftfartsverket, Federal Aviation Administration (FAA), som regulerer og overvåker alle aspekter av sivil luftfart i USA, bruker en rekke webapplikasjoner som fungerer som en støtte for FAAs ATC-systemer (Air Traffic Control). ATC-systemene brukes til blant annet å dirigere flytrafikken både på bakken og i luften.
KPMG har på oppdrag fra det Det amerikanske transportdepartementet gransket et utvalg av webapplikasjonene som FAA benytter. 35 av disse er offentlige og Internett-baserte. Et flertall brukes til spre informasjon til offentligheten, blant annet om kommunikasjonsfrekvenser for piloter og flygeledere.
De øvrige 35 webapplikasjonene som ble testet, er for intern bruk, blant annet som støttesystemer til åtte ATC-systemer.
Testene resulterte i at det ble funnet 763 sårbarheter med høy risiko, 504 med middels risiko og 2590 sårbarheter som ble ansett for å ha lav risiko. Eksempler på sårbarheter og svakheter som ble plassert i den siste kategorien, var svake passord og kritiske filmapper som ikke var beskyttet.
Ifølge en rapport Det amerikanske transportdepartementet har gitt ut om tilstanden til FAAs systemer, heter det at utnyttelse av disse sårbarhetene kan gi uautorisert tilgang til informasjon som lagres på datamaskinene som webapplikasjonene kjøres på. Gjennom disse sårbarheten kan interne FAA-brukere, noe som inkludere alt fra ansatte til partnere, få uautorisert tilgang til ATC-systemer fordi webapplikasjonene fungerer som frontgrensesnitt til ATC-systemene.
I tillegg mener man at sårbarhetene også åpner for planting av ondsinnet kode på klientsiden hos FAA-brukerne.
Under gjennomgangen greide de innleide KPMG-konsulentene å få uautorisert tilgang til informasjon lagres på både webservere og i et ATC-system. De fikk også bekreftet at at systemer er sårbare for angrep med ondsinnet kode.
En oversikt over alle sårbarhetene ble gjort tilgjengelig for FAA i november i fjor.
Ifølge rapporten som nå er tilgjengelig, mottok Air Traffic Organization (ATO) 800 rapporter om nettangrep mot ATC-systemer i regneskapsåret 2008. ATO har ansvar for driften av ATC. Ved utgangen av regnskapsåret 2008 skal 150 av disse hendelsene ikke ha blitt behandlet. Dette inkluderer kritiske tilfeller hvor hackere kan ha fått kontroll over ATO-datamaskiner.
FAA infrastruktur for telekommunikasjon er delt inn i et stamnett og en større antall lokale nettverk innen ATC-anleggene. Stamnettet overvåkes av en ekstern aktør, mens nettverkene i anleggene overvåkes av transportdepartementets Cyber Security Management Center (CSMC). I rapporten heter det at denne overvåkingen ikke er tilstrekkelig på grunn av mangelfull utrulling av IDS-sensorer (Intrusion-Detection System) og manglende oppfølgin av hendelsene som har blitt registrert.
