No entren en pánico, es tan sólo una demo sobre la inseguridad de varios sistemas que hay en vuelo que no estan encriptados de ninguna forma y permitirían acceder al control de ciertos componentes de una aeronave, principalmente comunicaciones.
La conferencia Hack In The Box Conference en Amsterdam fue dada por Hugo Teso que es además un expiloto y actualmente consultor, Taso mezcló su conocimiento de aviación comercial con el de IT y desarrolló un framework (SIMON) para sacar provecho de ciertos sistemas de vuelo y creó una app para Android (PlaneSploit, lindo nombre eh!) para administrarlo remotamente.
Uno de los dos sistemas que pudo hackear es el Automatic Dependent Surveillance-Broadcast (ADS-B),
encargado de enviar información del avión, como identificación, posición, altitud, etc. desde el trasmisor hasta el controlador aéreo y de recibir información de tráfico, clima y otros aviones cercanos.
El segundo sistema vulnerado es el Aircraft Communications Addressing and Reporting System (ACARS) encargado de comunicarse con otros aviones y el controlador sea por radio o satélite.
Taso demostró como ambos sistemas son extremadamente inseguros, no tienen ninguna validación de usuario ni encripción, simplemente se puede acceder a ellos e instalar el framework sin que se note, ni hace falta disimularlo como un rootkit. Pero aquí la salvedad, Taso no irá prso ni nada, todo está ejecutándose en un entorno virtual, no real, que simula un avión, el software está intencionalmente hecho de esta forma.
La idea es demostrar que sistemas importantes del avión no estan protegidos y, si bien requieren un acceso físico, no es imposible atacarlos (tan sólo con un técnico que tenga acceso a los paneles digitales del avión y listo) y una vez dentro de los mismos se puede modificar no sólo lo que el avión le avisa a la torre si no lo que le muestra en el instrumental a los pilotos.
La App creada para la demo hasta permite con simples botones hacerle cosas al avión “virtual”, ir a tal o cual lado, cambiándole las coordenadas del mapa en pantalla al piloto, activar o desactivar cosas en base a triggers (un avión cerca, enviarle una puteada por mensajería :D), una opción de “visit ground” , es decir, estrellar el avión, “kiss off” para autoborrar el framework y “desaparecer” sin dejar rastro y una opción para hacer sonar todas las alarmas en cabina, algo que haría entrar en pánico a cualquier piloto.
La mayoría de los detalles no fueron publicados por razones obvias, toda la información de seguridad (falta de) irá a parar a los fabricantes que tienen pocas chances de arreglar estos bugs en equipamiento antiguo pero que en la mayoría de los softwares modernos se solucionaría con un update del firmware.
Una salvedad para los pilotos, el hack funciona sólo en piloto automático, tan sólo saliendo de éste se toma el control del avión sin problemas, igualmente, no sería nada agradable que te hackeen en pleno vuelo!
Via Net Security
Que lindo poder secuestrar aviones desde mi telefono. Es un orgullo como ha crecido Android, voy a llorar de la emocion :´(