Agències de seguretat nord-americanes: ciberatacs d'avions comercials "només és qüestió de temps"

L'atac cibernètic d'avions comercials és només qüestió de temps, han advertit el Departament de Seguretat Nacional i altres agències governamentals dels EUA. La majoria dels avions de passatgers no tenen proteccions de ciberseguretat per evitar aquest tipus de pirateria.

Els documents interns del DHS, obtinguts mitjançant una sol·licitud de la Llei de llibertat d'informació, detallen vulnerabilitats amb aeronaus comercials i avaluacions de riscos. Alguns dels documents encara estan sent "retinguts d'acord amb l'exempció" de la FOIA.

El llançament inclou una presentació de gener del Pacific Northwest National Laboratory (PNNL), part del Departament d'Energia, que descriu els esforços del grup per piratejar un avió mitjançant el seu servei Wi-Fi com a prova de seguretat.

La prova de pirateria s'havia de dur a terme sense cap ajuda interna, des d'una posició d'accés públic (per exemple, un seient de passatgers o la terminal de l'aeroport) i sense utilitzar maquinari que activaria la seguretat de l'aeroport. Segons la presentació, el pirateig va permetre als investigadors "establir presència accionable i no autoritzada en un o més sistemes a bord".

Un altre document, del 2017, diu que les proves indiquen que "existeixen vectors d'atac viables que podrien afectar les operacions de vol". Una presentació del DHS inclosa als documents diu que "la majoria d'avions comercials que s'utilitzen actualment tenen poca o cap protecció cibernètica al seu lloc". Assenyala el fet que fins i tot un ciberatac percebut amb èxit podria tenir un "enorme impacte en la indústria de l'aviació mundial".

LLEGIR MÉS: L'expert en seguretat suposadament va dir a l'FBI que va piratejar i dirigir un avió durant el vol

Els documents de la Direcció de Ciència i Tecnologia del DHS adverteixen que les polítiques i pràctiques actuals no són adequades per fer front a la "immediatesa i les conseqüències devastadores que podrien derivar-se d'un ciberatac catastròfic a un avió comercial aerotransportat".

L'amenaça de pirates aèries és una cosa que es coneix des de fa temps. El 2015, l'FBI va advertir al personal que tingués cura del comportament inusual després que l'expert en seguretat informàtica Chris Roberts digués que va accedir als sistemes de control de l'aeronau per connectar-se a la consola d'entreteniment en vol fins a 20 vegades.

Al novembre, l'oficial del DHS, Robert Hickey, va dir que l'agència va piratejar amb èxit l'aviònica d'un Boeing 757 comercial el 2016. També va afirmar que els representants d'American Airlines i Delta Airlines es van sorprendre en saber que el govern havia estat conscient del risc d'aquests pirates durant tant de temps. i no s'havia molestat a fer-los saber.

No obstant això, un portaveu de Boeing va dir al Daily Beast que van presenciar la prova i "poden dir inequívocament que no hi va haver cap pirateig dels sistemes de control de vol de l'avió".

L'any 2014, l'expert en seguretat Ruben Santamarta va advertir que els pirates informàtics podien accedir als equips de comunicacions per satèl·lit d'un avió mitjançant Wi-Fi i sistemes d'entreteniment a bord, després que ell mateix va idear una manera de fer-ho. Santamarta va dir que els sistemes vulnerables no només s'utilitzaven en avions, sinó també en "vaixells, vehicles militars, així com instal·lacions industrials com plataformes petrolieres, gasoductes i turbines eòliques".

A la conferència Black Hat de 2018, Santamarta demostrarà com és possible piratejar un avió des de terra, accedint a la xarxa Wi-Fi i arribant a la comunicació per satèl·lit de l'avió, que es podria utilitzar com a eina de radiofreqüència (RF).

“Són casos reals. Ja no són escenaris teòrics", va dir a Dark Reading. "Estem utilitzant [vulnerabilitats] en dispositius de satcom per convertir aquests dispositius en armes".