El FBI advierte
a las aerolíneas para que estén "atentas"
Chris Roberts, experto en seguridad informática en aviones,
estaba en un vuelo la semana pasada cuando se publicó un informe que decía que
algunos aviones utilizaban la misma red para la conectividad WiFi que ofrecen a
los pasajeros y para los sistemas de navegación del propio avión.
"¿Deberíamos empezar a jugar con mensajes EICAS? PASS OXIGEN ON,
¿alguien?", twitteó a modo de broma en referencia a activar el sistema de
mascarillas de oxígeno de la aeronave. El FBI no se lo tomó con tanto humor.
Además de haber retenido a Roberts durante varias horas y de
habérsele prohibido volar con dicha aerolínea en el futuro por "manipular
los sistemas de la aeronave durante el vuelo", el FBI ha decidido emitir
una alerta dirigida a las aerolíneas en la que les pide que estén atentas a
cualquier comportamiento sospechoso, especialmente refiriéndose a los pasajeros
que intenten conectar cables al sistema IFE o a partes "no usuales"
de su asiento.
En la advertencia piden también que se comprueben que las
cubiertas de algunos puertos de conexión no han sido forzadas y que también se
deben revisar los logs de la red de la aeronave para detectar actividad
sospechosa. ¿Significa esto que los sistemas son hackeables? Según el FBI, no
está demostrado. "Aunque lo que aseguran los medios es teórico y no se ha
demostrado, la publicidad mediática asociada con estos casos pueden animar a
otros a utilizar los métodos para intrusión descritos. Intentar conseguir
acceso no autorizado a las redes de un avión comercial es un delito
federal", explican desde la agencia.
Las advertencias de Roberts
Volviendo a Chris Roberts, se da la casualidad (o no) de que
durante años ha estado investigando la seguridad de las redes de algunos
aviones y aerolíneas. Reconoce haberse conectado y haber monitorizado el
tráfico en el pasado con el fin de descubrir vulnerabilidades, aunque asegura
que no hizo nada de eso en el vuelo tras el cual fue retenido por el FBI. ¿Por
qué envió dicho tweet entonces? En declaraciones a Wired, asegura estar harto
de alertar de posibles fallos de seguridad a las aerolíneas sin que éstas hagan
nada al respecto.
En otra entrevista, Roberts asegura que hace unos cuatro
meses llegó a reunirse con el FBI por petición de la agencia. Allí les explicó
que no sólo fue capaz de monitorizar el tráfico relacionado a la red WiFi para
los pasajeros, sino que también inspeccionó paquetes de información procedentes
del sistema de combustible y del sistema de propulsión del avión. Eso sí,
insiste en que nunca llegó a actuar sobre los mismos en los aviones reales,
aunque en simulaciones dice haber sido capaz de modificar el modo
"crucero" de los motores y cambiarlo por el modo "ascenso".
Poco después de que Chris Roberts ofreciera dichas
entrevistas, la Government Accountability Office de Estados Unidos emitía un
informe en el que aseguraba que, si bien la Federal Aviation Administration
(FAA) lleva desde enero trabajando en "proteger los sistemas de control de
tráfico aéreo (ATC) de las ciberamenazas", todavía necesitan profundizar
más en este asunto ya que cada vez son más los aviones que ofrecen Internet y,
por tanto, se pueden incrementar las potenciales intrusiones.
Aunque todavía no parece haberse dado ningún caso real de
ataque a un avión utilizando este método, en 2008 la propia FAA emitió una alerta
al considerar que el diseño del sistema digital del Boeing 787 Dreamliner era
vulnerable a los ataques. Para algunos expertos, los sistemas de control están
lo suficientemente compartimentados y separados con cortafuegos del resto de la
red del avión como para estar expuestos a hackers.
Para otros, como Roberts, no es suficiente y el hecho de que
las aerolíneas quieran silenciar esto, según sus acusaciones, es perjudicial
para ellas mismas. Brad Haines, otro investigador del sector, se quejaba de
esto mismo: "la mayoría de nuestras investigaciones no pueden ir más lejos
porque no queremos causar problemas, pero todas las pruebas apuntan a que hay
muchos problemas que no están siendo solucionados".
Entradas
0 comentarios :
Publicar un comentario