Αεροπειρατεία μέσω εφαρμογής smartphone


Τεράστια εντύπωση, αλλά και ανησυχία σε όλο τον κόσμο, έχει προκαλέσει η επίδειξη στη συνδιάσκεψη ασφάλειας Hack in the Box στο Άμστερνταμ εργαλείων για το Android που μπορούν να χρησιμοποιηθούν για «αεροπειρατεία»- απόκτηση του ελέγχου ενός αεροπλάνου εξ αποστάσεως.



Ο Χιούγκο Τέσο από τη Γερμανία είναι σύμβουλος ασφαλείας της εταιρείας N.Runs, αλλά και πιλότος, και, όπως είπε στην συνδιάσκεψη, πέρασε τρία χρόνια αναπτύσσοντας το SIMON- ένα πλαίσιο κακόβουλου λογισμικού που μπορεί να χρησιμοποιηθεί για επιθέσεις κατά λογισμικού ασφάλειας αερογραμμών- και μία εφαρμογή Android για τη χρήση του, την οποία αποκαλεί PlaneSploit.

Χρησιμοποιώντας έναν εξομοιωτή πτήσης, ο Τέσο έδειξε τη δυνατότητά του να μεταβάλει την ταχύτητα, το ύψος και την κατεύθυνση του εικονικού αεροσκάφους, στέλνοντας ραδιοσήματα στο σύστημα ελέγχου πτήσης (FMS- Flight Management System). Όπως επεσήμανε, τα σημερινά συστήματα ασφαλείας δεν έχουν επαρκώς ισχυρές μεθόδους ταυτοποίησης για να επιβεβαιώνεται πως οι εντολές έρχονται από εκεί που πρέπει να έρχονται.

Κατά τον Τέσο, το σύστημα μπορεί να χρησιμοποιηθεί για να επηρεαστούν όλα όσα απαιτούνται για την πλοήγηση του αεροσκάφους. Επίσης, η δυνατότητα επέμβασης φτάνει μέχρι και στις αλλαγές στην οθόνη του πιλότου και το άνοιγμα και κλείσιμο των φώτων στο κόκπιτ.

Κατά τα λεγόμενά του, ανέπτυξε το SIMON έτσι ώστε να μπορεί να χρησιμοποιηθεί μόνο σε εικονικά περιβάλλοντα και όχι σε πραγματικά αεροσκάφη- ωστόσο οι προβληματισμοί που προκύπτουν από το όλο εγχείρημα είναι εμφανείς, καθώς εντελώς αντίστοιχες μέθοδοι θα μπορούσαν να χρησιμοποιηθούν και για αληθινά αεροπλάνα, όπως επεσήμαναν αναλυτές της Help Net Security.

Ο εξοπλισμός ελέγχου πτήσης που χρησιμοποιήθηκε για την επίδειξη αγοράστηκε στο eBay, ενώ ο εξομοιωτής πτήσης που χρησιμοποιήθηκε είναι διαθέσιμος στο ευρύ κοινό, και περιέχει τμήματα υπολογιστικού κώδικα τα οποία χρησιμοποιούνται και στο software των πραγματικών αεροσκαφών.

Όπως είπε ο Τέσο, έχει επικοινωνήσει με τις εταιρείες που φτιάχνουν τα λογισμικά, καθώς και τις αρχές, ενημερώνοντας για τα κενά ασφαλείας.  Από πλευράς της, η αμερικανική Federal Aviation Administration (FAA), δήλωσε στο Mashable πως, αν και είναι ενήμερη για την παρουσίαση του Τέσο, εκτιμά πως η τεχνική που χρησιμοποιήθηκε δεν αποτελεί λόγο ανησυχίας, καθώς δεν λειτουργεί με πιστοποιημένο ηλεκτρονικό εξοπλισμό πτήσης.  Συγκεκριμένα, αναφέρεται πως «η τεχνική που περιγράφηκε δεν μπορεί να εμπλακεί ή ελέγξει το σύστημα αυτόματου πιλότου του αεροσκάφους μέσω του FMS, ή να εμποδίσει έναν πιλότο να παρακάμψει τον αυτόματο πιλότο. Οπότε, ένας χάκερ δεν μπορεί να αποκτήσει πλήρη έλεγχο ενός αεροσκάφους, όπως ισχυρίστηκε ο εν λόγω σύμβουλος ασφαλείας». Αντίστοιχη είναι και η θέση της EASA (European Aviation Safety Agency).

Πέρυσι, στην συνδιάσκεψη ασφαλείας Black Hat στο Λας Βέγκας, ένας άλλος ερευνητής, ο Αντρέι Κοστίν, είχε επίσης κάνει αίσθηση, επιδεικνύοντας τρωτά σημεία στα συστήματα ελέγχου εναέριας κυκλοφορίας νέας γενιάς.

Πηγή

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου