El director de una agencia de aviación Europea advirtió éste jueves que los hackers podrían infiltrarse en los sistemas de un Avión desde tierra.
El Director de Seguridad Aérea Patrick Ky de la Agencia Europea, dijo que se podrían explotar vulnerabilidades en el ACARS (Aircraft Communications Addressing and Reporting System), sistema que se utiliza para transmitir los mensajes entre aviones y las estaciones terrestres.
Ky dijo en una conferencia de prensa que a un experto le llevó cinco minutos acabar con ACARS y un par de días para acceder al sistema de control de aeronaves en tierra.
«Por razones de seguridad, no voy a decirte cómo lo hizo, pero me permitirá juzgar si el riesgo es alto o bajo,» Ky fue citado en un artículo publicado por el francés Les Echos.
Algunos de estos temas fueron expuestos por el investigador de seguridad Teso durante una presentación de 2013 en Hack in the Box. Teso dirigio específicamente su tema contra ACARS y divulgo una serie de vulnerabilidades de los sistemas de a bordo. Teso dijo que encontró relativamente poca seguridad que protege la comunicación entre la aeronave y tierra.
«Punto débil del sistema es que no verifica los paquetes de comunicación en el camino desde el suelo hasta el avión», dijo Andrey Nikishin, jefe de desarrollo de proyectos de las tecnologías del futuro de Kaspersky Lab. «Debido a esto, es posible suplantar el sistema mediante la inserción de un nuevo paquete en el camino.»
Nikishin dijo que un atacante podría enviar a los pilotos de los mensajes falsos que podrían afectar la toma de decisiones en el aire.
«En teoría, un usuario malintencionado puede influir en la decisión de un piloto para cambiar la ruta, si, a través del flujo de spoofing, envía a el avión un mensaje falso sobre una próxima tormenta», dijo Nikishin. «El mismo esquema malintencionado podría aplicarse para suplantar el GPS, haciendo que el sistema cree que se encuentra en un lugar diferente de donde lo que realmente es.»
«ACARS utiliza un esquema de codificación / decodificación de propiedad que ha estado en uso desde 1978 – cuando el equipo de la aeronave no fue diseñado con la seguridad cibernética en mente, dijo Nikishin. «Esto hace que sea anticuado, y creemos que los fabricantes de aeronaves deben ya haber comenzado a desarrollar un nuevo sistema, con un nuevo enfoque.»
La revelación de Ky se produce un día antes de la introducción de un nuevo sistema de control del tráfico aéreo europeo llamado Sesar.
«Mañana, con la introducción de Sesar y la posibilidad para el control del tráfico aéreo a través de instrucciones al sistema de control de la aeronave, se multiplicará este riesgo», dijo Ky. «Tenemos que empezar por poner en marcha una estructura para alertar a las compañías aéreas sobre los ataques cibernéticos.»
Esta no es la primera vez que la seguridad de las aeronaves se ha cuestionado. En mayo del presente año, el investigador Chris Roberts fue retirado de un vuelo de United Airlines después de Twittear acerca de hackeo realizado al vuelo ene l que se encontraba. Roberts fue detenido e interrogado por el FBI, que informó de que Roberts dijo que él había excavado a través de centro de entretenimiento a bordo de la aeronave para llegar a los sistemas críticos y ejecutar comandos para el avión.
Los fabricantes de aeronaves fueron entrevistados; Boeing, por ejemplo, dijo a CNN sus sistemas de entretenimiento y navegación no estaban conectados y que las afirmaciones de Roberts era imposible.
Fuente: ThreatPost