Cuando viajamos en avión, además de los tediosos controles de
seguridad a la hora de embarcar, en las maniobras de despegue y
aterrizaje nos hacen apagar nuestros dispositivos electrónicos "para no
interferir" los sistemas del avión. Cualquier avión dispone de sistemas
electrónicos (conocidos como aviónica)
y sistemas de transmisión por radio, computadoras embarcadas en el
aparato que controlan todo lo que pasa a bordo y en los que no solemos
pensar cuando realizamos un viaje pero ¿hasta qué punto estos sistemas
pueden ser vulnerables? A esta pregunta ha respondido Hugo Teso, un experto en seguridad, que durante una conferencia impartida en el día de ayer asombró a los asistentes mostrando cómo era posible atacar los sistemas de un avión valiéndose, entre otras cosas, de un dispositivo Android.
Teso,
que además de trabajar en el ámbito de la seguridad tiene también
formación como piloto comercial, mostró a los asistentes a la Hack In The Box Conference
de Amsterdam cómo podría ser posible interferir en los sistemas de un
avión con tecnología que está alcance de nuestra mano y que, por
ejemplo, podemos comprar a través de Internet. Dicho de otra forma,
mostró cómo podría ser posible hackear un avión y controlarlo a distancia.
Teso se centró en dos de los sistemas que hay a bordo de cualquier avión, el ADS-B (Automatic Dependent Surveillance-Broadcast),
un sistema que se encarga de emitir información sobre la identificación
del avión, su posición o datos sobre su altitud para que los
controladores aéreos mantengan localizados los aviones en el espacio
aéreo y para que las aeronaves reciban por este canal información sobre
el tráfico aéreo en la zona o la información climatológica. El otro
sistema en el que se centró es el ACARS (Aircraft Communications Addressing and Reporting System)
que es el sistema que utilizan los pilotos para intercambiar mensajes e
información con otros aviones o con el control de tierra usando enlaces
vía satélite o bien por ondas de radio.
¿Y qué fue lo que hizo?
Según comentó este experto durante su ponencia, ambos sistemas son
bastante vulnerables y, por tanto, susceptibles de ser atacados.
Concretamente, se valió de la información del ADS-B (que es una señal de
broadcast) para obtener información de aviones y, por tanto,
seleccionar objetivos y, por otro lado, usó el ACARS para obtener
información sobre el sistema del avión para aprovechar sus
vulnerabilidades y enviar "mensajes malintencionados" que pudieran
afectar al comportamiento del avión.
Teso desarrolló un framework que era capaz de insertar información en los planes de vuelo
de la computadora de un supuesto avión (lo ha realizado sobre una
maqueta) y desarrollando una aplicación Android que se apoyaba sobre
este framework podía transformar un teléfono móvil o un tableta
en una especie de "clon" del famoso Flight Simulator de Microsoft
puesto que se podían visualizar parámetros de la aviónica del avión e,
incluso, controlarlos a distancia.
Aprovechando la información de
servicios como Flightradar24, que monitoriza la posición de los vuelos
comerciales, esta aplicación Android era capaz de mostrar vuelos que
estaban dentro del rango de influencia de este sistema de intercepción
(algo que en un escenario real dependerá fuertemente de la estación
emisora de broadcast que se utilice) y, sobre el vuelo
seleccionado, obtener la información del plan de vuelo, su identificador
unívoco y, en el caso de ser susceptible de poder atacarse, obtener una
alerta que indique que se puede interferir en los sistemas del avión.
¿Interferir
en los sistemas? Aunque pueda sonar inquietante, este experto en
seguridad mostró algunos de los detalles que podía hacer esta aplicación
en su entorno de pruebas: cambiar el plan de vuelo, fijar condiciones
de "disparo" para programar un evento cuando el avión sobrevuele una
zona concreta, estrellar el avión, lanzar alarmas o aprovechar el
acelerómetro del smartphone para transformarlos en los mandos y controlar el avión.
Es justo decir que todo lo que presentó es un trabajo de investigación
y, por tanto, es una interesante llamada de atención a la industria
aeronáutica puesto que Teso ha replicado el escenario real en una "maqueta de laboratorio" y ha trabajado sobre ésta, de hecho, todo el software que ha desarrollado funciona únicamente sobre la maqueta para que no pueda extrapolarse a un escenario real.
De
todas formas, aunque todo este planteamiento sea bajo un escenario
simulado, he de confesar que es bastante inquietante que los sistemas
básicos de comunicación de los aviones puedan presentar vulnerabilidades
que permitan ejercer, de manera remota, el control de un avión y,
llevándolo al extremo, ponen sobre la mesa que muchas de las medidas de
seguridad que se toman no sirven de mucho si la aviónica del avión es
tan vulnerable y se sigue basando en estándares de comunicación fijados
en la década de los años 70 aunque, eso sí, según comentó Teso este tipo
de vulnerabilidades se producen en los casos en los que el avión vuela
con el piloto automático.
Aún así, la presentación, en mi opinión, no tiene desperdicio alguno.
Por JJ Velasco
Tomado de http://alt1040.com
No hay comentarios:
Publicar un comentario