若说有什么东西比容器安全更糟，那一定是集装箱（容器）货运船安全。

英国渗透测试公司Pen Test Partners研究员肯·芒罗，一直在探测保障海上船只互联的海事卫星通信系统。他在近期发布的一篇博客文章中，他将船只描述为漂浮的工业控制系统——曾经隔离现今联网的海上ICS。

ICS发展之初并未怎么考虑网络攻击，几十年来疲于应付来自互联网上的经常性围攻。

芒罗认为，船只IT系统的安全更加糟糕。

我个人而言，船只安全甚至还落后于广义的ICS安全。这种变化是卫星通信终端总是联网所造成的。在过去，船只系统与互联网隔绝，跟ICS没什么两样。

芒罗称，如今已有大量船只安全事件曝出。“马上能想到的一起，是非洲海岸一座移动式钻井平台发生倾斜而不得不疏散。调查结果表明，其控制系统被黑了。举这个例子，是因为我怀疑这可能仅仅是因为凭证被盗或使用默认凭证，而且还有个暴露在网上的控制系统图形用户界面(GUI)。”

芒罗使用互联网设备搜索引擎Shodan.io，查找了海事卫星通信系统的几个流行品牌，包括Cobham、Inmarsat和Telenor工具包，还有一些被并购了的老产品——怀疑其上运行有过时的固件。

admin/1234

他选择不去测试某些系统的默认用户名/口令配置（通常是admin/1234），并称近期大多数和海事卫星通信系统有关的黑客攻击报告中，都涉及因缺乏认证或通信终端使用默认凭证而导致攻击者成功入侵。他并不愿考虑此类不合格的黑客行为，即便这也可能造成和其它攻击手段一样的后果。

通过搜索“html:commbox”，他找到了KVH公司船-岸网络管理系统CommBox的各种终端指令。打开实际的CommBox登录页面，芒罗发现，其连接根本没有受到HTTPS的保护，毫无安全性可言。该系统呈现出通往可查询用户数据库的链接，而且鼠标在用户界面上晃一晃，就能看到网络配置数据。

在船员名单的帮助下，芒罗得以快速找出某船员的社交网络资料，获取针对性网络钓鱼攻击所需的全部数据。如果他与海盗有联系，便完全可以通过用于追踪船只的自动识别系统(AIS)，为海盗提供该船只的位置和船员数据。

简言之，如果这些安全漏洞是在船体上，这艘船恐怕早就长眠海底了。

芒罗称，卫星通信终端需要实现TLS，用户账户必须保证口令复杂度，通信硬件也应装上安全固件。

有很多条路通往船只，但卫星通信终端是几乎总是在线的那一条。从攻陷这些设备开始，然后发展到攻陷其他船只系统。这就是完全不同的场面了。

KVH发言人强调，芒罗发现的船只并非KVH卫星通信客户，也没有在其网络上：“文中提到的船舶卫星通信终端，明显被分配了一个不受限的静态公共IP地址。该地址不属于KVH，属于另一家卫星服务提供商网络。”

如果是在我们的网络上的话，KVH自己的通话服务，在客户要求静态公共IP地址时，默认是会封禁所有来自互联网的入站访问以防护此类情况的。