装载规划软件可被利用，或导致船舶失衡

船舶及集装箱的载运规划其实是在没有安全消息系统的情况下创建的，不过在船只与航运公司，码头以及港务局之间却会有一些冗长的电子信息通信。安全公司Pen Test Partners的安全顾问Ken Munro正在研究此类问题，因为这种缺陷很容易被一些恶意人员利用。

大型船只每天都会使用名为BAPLIE的系统来装卸成千上万的集装箱，有时一些集装箱则重达20万吨。这个系统会帮助港务局安排每个集装箱所应该放置的确切位置，且船舶生产商也会定期更新它。不过如果客户没有使用最新的版本，一些攻击者就会篡改发送给海关的信息来掩盖集装箱的真实装载物和重量。

执法机关无法完全检查那些来自（被标记为）高风险国家的船只的货物，所以如果黑客篡改了集装箱相关信息，检查人员将无从知晓。

一篇官方的博客中讲到，这种威胁是真实存在的，且任何人都可以进行攻击。安全消息系统的漏洞会影响船舶的日常运作，若出现问题，那么本应在24-48小时内完成的装卸工作，会因人工清算而拖延数周。此外，用于将重型集装箱放置在底部以确保重心保持较低并维持平衡的装载规划软件也会被利用，从而导致船只平衡受到影响。

如果黑客通过篡改数据操纵了装载规划，让起重机将重集装箱放置在船的顶部或者两边而让船失去平衡，结果会怎样呢？虽然输送泵可以解决一些失衡问题，但其对于突如其来的快速失衡却无能为力。

Pen Test Partners已经警告过使用USB设备交换船舶与码头之间的数据这种做法，因为安装了装载规划软件的计算机同时也会被用于浏览网页以及发送电子邮件，这样容易引入恶意软件。研究人员声称，船舶的装载规划与各港口之间的互通性至关重要，所以装载规划应该被安全地发送给港口。

Munro称：“为了方便=使用USB设备=易受攻击，鉴于攻击方法已经成熟，其所带来的经济损失，环境破坏甚至人员伤亡是不堪设想的。”

由于已经有证据表明内部人员偷窃集装箱内高价物品事件时有发生，Pen Test Partners已经敦促相关运营者，码头以及港口彻底审查他们的信息系统，以减少数据篡改的威胁。

*参考来源：hackread，FB小编Covfefe编译，转载请注明来自FreeBuf.COM