Avioanele de pasageri pot fi deturnate cu un telefon Android!
Ultima conferință Hack In The Box organizată la Amsterdam a lăsat un gust amar companiilor de transport aerian și autorități deopotrivă, după ce un expert în securitate a arătat cum un simplu smartphone cu sistem Android poate fi folosit pentru a deturna computerul de zbor al avioanelor de linie. Odată infiltrat, atacatorul poate trimite computerului de zbor comenzi false, de natură să destabilizeze avionul, sau prelua controlul total asupra acestuia.
Descoperirea aparține lui Hugo Teso, un consultant în securitate pentru compania germană n.runs, cu experiență de peste 11 ani în domeniul IT și calificare de pilot pentru zboruri comerciale. În deschiderea prezentării ținută în fața audienței prezentă la conferința Hack In The Box, Hugo a descris securitatea compute-relor de zbor aflate la bordul avioanelor comerciale și protocoalele de comunicație utilizate de companiile aeriene drept total inadecvate și incapabile să asigure securitatea zborurilor.
Demonstrația
În susținerea afirmațiilor sale, Hugo a demonstrat modul în care poate fi deturnat computerul de zbor (Flight Management System) folosit de avioane comerciale cu ajutorul unui exploit numit SIMON și o aplicație pentru telefoane Android numită PlaneSploit, ambele create chiar de el. Cu ajutorul celor două unelte software și un banal smartphone Android, acesta a arătat celor prezenți cum poate fi preluat controlul total asupra computerului de zbor, trimițând comenzi care "fac avionul să danseze în zbor", scăpat de sub controlul piloților aflați în cabina de zbor.
Din fericire pentru Hugo și cei participanți la conferința din Amsterdam, experimentul a fost făcut cu un computer de zbor pus la cârma unor avioane virtuale, al căror zbor haotic a fost urmărit pe monitorul unui laptop.
Hugo a explicat că una dintre țintele atacului său este sistemul numit Automatic Dependent Surveillance-Broadcast (ADS-B), responsabil cu trimiterea de informații controlorilor de trafic aflați la sol despre fiecare avion aflat în zbor, folosind un transmițător radio aflat la bordul avionului. În mod normal, avioanele de linie folosesc acest sistem pentru a primi informații de zbor, date despre condițiile de vreme și traficul avioanelor aflate în apropiere.
Riscuri de securitate majore
O altă vulnerabilitate ce poate fi exploatată în scopuri criminale este protocolul numit Aircraft Communications Addressing and Reporting System (ACARS), folosit pentru schimbul de mesaje între avioane și controlorii de trafic aflați la sol, precum și furnizarea automată de informații privind fiecare fază a zborului, cu ajutorul transmițătoarelor radio sau prin conexiune satelit.
Din păcate, ambele tehnologii de comunicație prezintă riscuri de securitate majore și sunt vulnerabile în fața mai multor tipuri de atacuri pasive și active. În atacul simulat, Hugo a arătat cum sistemul ADS-B poate fi folosit cu rea intenție pentru a selecta ținte, iar sistemul ACARS permite colectarea de informații despre computerul de zbor și exploatarea vulnerabilităților sale, prin trimiterea de mesaje false care afectează comportamentul avionului în zbor.
Descoperirea aparține lui Hugo Teso, un consultant în securitate pentru compania germană n.runs, cu experiență de peste 11 ani în domeniul IT și calificare de pilot pentru zboruri comerciale. În deschiderea prezentării ținută în fața audienței prezentă la conferința Hack In The Box, Hugo a descris securitatea compute-relor de zbor aflate la bordul avioanelor comerciale și protocoalele de comunicație utilizate de companiile aeriene drept total inadecvate și incapabile să asigure securitatea zborurilor.
Demonstrația
În susținerea afirmațiilor sale, Hugo a demonstrat modul în care poate fi deturnat computerul de zbor (Flight Management System) folosit de avioane comerciale cu ajutorul unui exploit numit SIMON și o aplicație pentru telefoane Android numită PlaneSploit, ambele create chiar de el. Cu ajutorul celor două unelte software și un banal smartphone Android, acesta a arătat celor prezenți cum poate fi preluat controlul total asupra computerului de zbor, trimițând comenzi care "fac avionul să danseze în zbor", scăpat de sub controlul piloților aflați în cabina de zbor.
Din fericire pentru Hugo și cei participanți la conferința din Amsterdam, experimentul a fost făcut cu un computer de zbor pus la cârma unor avioane virtuale, al căror zbor haotic a fost urmărit pe monitorul unui laptop.
Hugo a explicat că una dintre țintele atacului său este sistemul numit Automatic Dependent Surveillance-Broadcast (ADS-B), responsabil cu trimiterea de informații controlorilor de trafic aflați la sol despre fiecare avion aflat în zbor, folosind un transmițător radio aflat la bordul avionului. În mod normal, avioanele de linie folosesc acest sistem pentru a primi informații de zbor, date despre condițiile de vreme și traficul avioanelor aflate în apropiere.
Riscuri de securitate majore
O altă vulnerabilitate ce poate fi exploatată în scopuri criminale este protocolul numit Aircraft Communications Addressing and Reporting System (ACARS), folosit pentru schimbul de mesaje între avioane și controlorii de trafic aflați la sol, precum și furnizarea automată de informații privind fiecare fază a zborului, cu ajutorul transmițătoarelor radio sau prin conexiune satelit.
Din păcate, ambele tehnologii de comunicație prezintă riscuri de securitate majore și sunt vulnerabile în fața mai multor tipuri de atacuri pasive și active. În atacul simulat, Hugo a arătat cum sistemul ADS-B poate fi folosit cu rea intenție pentru a selecta ținte, iar sistemul ACARS permite colectarea de informații despre computerul de zbor și exploatarea vulnerabilităților sale, prin trimiterea de mesaje false care afectează comportamentul avionului în zbor.
Articole pe aceeași temă
Marţi, 07 Mai 2013
Luni, 22 Aprilie 2013
Luni, 22 Aprilie 2013
Luni, 15 Aprilie 2013
Luni, 15 Aprilie 2013
O bucată dintr-un avion implicat în atentatele din 11 Septembrie 2001 a fost descoperită la New York
Sâmbătă, 27 Aprilie 2013
Vineri, 26 Aprilie 2013