Em 12 de março, A foto de 2013 mostra a torre de controle de tráfego aéreo no Aeroporto Internacional Midway de Chicago. O Departamento de Segurança Interna planeja emitir um alerta de segurança na terça-feira para pequenos aviões, alertando que os sistemas de vôo modernos são vulneráveis a hackers se alguém conseguir obter acesso físico à aeronave. Um alerta DHS recomenda que os proprietários de aviões garantam que restringem o acesso físico não autorizado às suas aeronaves até que a indústria desenvolva salvaguardas para resolver o problema, que foi descoberto por uma empresa de cibersegurança sediada em Boston, Rapid7, e reportado ao governo federal. (AP Photo / M. Spencer Green)
O Departamento de Segurança Interna emitiu um alerta de segurança na terça-feira para pequenos aviões, alertando que os sistemas de vôo modernos são vulneráveis a hackers se alguém conseguir obter acesso físico à aeronave.
Um alerta da equipe de resposta a emergências de computador de infraestrutura crítica do DHS recomenda que os proprietários de aviões garantam que eles restrinjam o acesso físico não autorizado às suas aeronaves até que a indústria desenvolva salvaguardas para resolver o problema, que foi descoberto por uma empresa de segurança cibernética com sede em Boston e relatado ao governo federal.
A maioria dos aeroportos possui segurança para restringir o acesso não autorizado e não há evidências de que alguém tenha explorado a vulnerabilidade. Mas um funcionário do DHS disse à Associated Press que a agência confirmou de forma independente a falha de segurança com parceiros externos e um laboratório de pesquisa nacional, e decidiu que era necessário emitir o aviso.
A empresa de segurança cibernética, Rapid7, descobriram que um invasor pode interromper potencialmente as mensagens eletrônicas transmitidas pela rede de um pequeno avião, por exemplo, conectando um pequeno dispositivo à sua fiação, que afetariam os sistemas da aeronave.
Leituras do motor, dados da bússola, altitude e outras leituras "poderiam ser manipuladas para fornecer medições falsas ao piloto, "de acordo com o alerta do DHS.
O aviso reflete o fato de que os sistemas da aeronave dependem cada vez mais de sistemas de comunicação em rede, muito parecido com os carros modernos. A indústria automobilística já tomou medidas para resolver preocupações semelhantes depois que pesquisadores expuseram vulnerabilidades.
O relatório Rapid7 focou apenas em aeronaves pequenas porque seus sistemas são mais fáceis de serem adquiridos pelos pesquisadores. Aeronaves grandes freqüentemente usam sistemas mais complexos e devem atender a requisitos de segurança adicionais. O alerta DHS não se aplica a aviões pequenos mais antigos com sistemas de controle mecânico.
Mas Patrick Kiley, Pesquisador líder da Rapid7 sobre o assunto, disse que um invasor pode explorar a vulnerabilidade com acesso a um avião ou contornando a segurança do aeroporto.
Neste 15 de julho, Foto 2018, a torre de controle de tráfego aéreo do Aeroporto de New Orleans Lakefront é vista em frente a um pôr do sol e uma nuvem de chuva sobre o Lago Pontchartrain, em Nova Orleans. O Departamento de Segurança Interna planeja emitir um alerta de segurança na terça-feira para pequenos aviões, alertando que os sistemas de vôo modernos são vulneráveis a hackers se alguém conseguir obter acesso físico à aeronave. Um alerta DHS recomenda que os proprietários de aviões garantam que restringem o acesso físico não autorizado às suas aeronaves até que a indústria desenvolva salvaguardas para resolver o problema, que foi descoberto por uma empresa de cibersegurança sediada em Boston, Rapid7, e reportado ao governo federal. (AP Photo / Gerald Herbert)
"Alguém com cinco minutos e um conjunto de fechaduras pode obter acesso (ou) há acesso fácil através do compartimento do motor, "Kiley disse.
Jeffrey Troy, presidente do Centro de Análise e Compartilhamento de Informações de Aviação, uma organização do setor para informações de segurança cibernética, disse que há uma necessidade de melhorar a segurança em sistemas operacionais em rede, mas enfatizou que o hack depende de contornar os controles de segurança física exigidos por lei.
Com acesso, "você tem centenas de possibilidades de interromper qualquer sistema ou parte de uma aeronave, "Troy disse.
A Federal Aviation Administration disse em um comunicado que um cenário onde alguém tem acesso físico irrestrito é improvável, mas o relatório também é "um importante lembrete para permanecer vigilante" sobre os procedimentos de aeronaves de segurança física e cibernética.
A segurança cibernética da aviação tem sido uma questão de crescente preocupação em todo o mundo.
Em março, o inspetor geral do Departamento de Transportes dos EUA concluiu que a FAA "não havia concluído um estrutura de política estratégica para identificar e mitigar riscos de segurança cibernética. "A FAA concordou e disse que espera ter um plano em vigor até o final de setembro.
O órgão da ONU para a aviação propôs sua primeira estratégia para proteger a aviação civil de hackers, que deve ser apresentada à Assembleia Geral em setembro, disse Pete Cooper, um ex-piloto de jato rápido da Força Aérea Real e oficial de operações cibernéticas que assessora a indústria da aviação.
O relatório de divulgação de vulnerabilidade é o produto de quase dois anos de trabalho da Rapid7. Depois que seus pesquisadores avaliaram a falha, a empresa alertou o DHS. O alerta do DHS de terça-feira recomenda que os fabricantes revisem como implementam esses sistemas eletrônicos abertos, conhecidos como "barramento CAN", para limitar a capacidade de um hacker de realizar esse tipo de ataque.
Neste 7 de junho, Foto de 2017, o Rio Vermelho é visto nesta foto aérea de um avião particular perto de Shreveport, La. O Departamento de Segurança Interna planeja emitir um alerta de segurança na terça-feira para pequenos aviões, alertando que os sistemas de vôo modernos são vulneráveis a hackers se alguém conseguir obter acesso físico à aeronave. Um alerta DHS recomenda que os proprietários de aviões garantam que restringem o acesso físico não autorizado às suas aeronaves até que a indústria desenvolva salvaguardas para resolver o problema, que foi descoberto por uma empresa de cibersegurança sediada em Boston, Rapid7, e reportado ao governo federal. (AP Photo / Gerald Herbert)
O barramento CAN funciona como o sistema nervoso central de um pequeno avião. Alvejá-lo pode permitir que um invasor roube furtivamente as leituras dos instrumentos de um piloto ou mesmo assuma o controle do avião, de acordo com o relatório Rapid7 obtido pela AP.
"O barramento CAN é completamente inseguro, "disse Chris King, um especialista em segurança cibernética que trabalhou na análise de vulnerabilidade de sistemas de grande escala. "Nunca foi projetado para estar em um ambiente adversário, (portanto, não há) validação "de que o que o sistema está sendo instruído a fazer vem de uma fonte legítima.
Apenas alguns anos atrás, a maioria dos fabricantes de automóveis usava o sistema de barramento CAN aberto em seus carros. Mas depois que os pesquisadores demonstraram publicamente como eles podem ser hackeados, fabricantes de automóveis adicionaram camadas de segurança, como colocar funções críticas em redes separadas que são mais difíceis de acessar externamente.
A divulgação destaca questões nas indústrias automotiva e de aviação sobre se uma vulnerabilidade de software deve ser tratada como um defeito de segurança - com seu potencial para recalls de fabricantes caros e responsabilidade implícita - e qual responsabilidade os fabricantes devem ter em garantir que seus produtos sejam protegidos contra tais ataques. A vulnerabilidade também destaca a realidade de que está se tornando cada vez mais difícil separar a segurança cibernética da segurança geral.
"Muitas pessoas da aviação não veem a sobreposição entre a segurança da informação, cíber segurança, de uma aeronave, E segurança, "disse Beau Woods, um colega de inovação em segurança cibernética do Atlantic Council, um think tank de Washington. "Eles os vêem como coisas distintas."
O esquema de rede de barramento CAN foi desenvolvido na década de 1980 e é extremamente popular para uso em barcos, drones, nave espacial, aviões e carros - todas as áreas onde há mais interferência de ruído e é vantajoso ter menos fiação. Na verdade, é cada vez mais usado em aviões hoje devido à facilidade e ao custo de implementação, Kiley disse.
Dado que os aviões têm um ciclo de fabricação mais longo, "o que estamos tentando fazer é sair antes disso."
O relatório não nomeou os fornecedores que o Rapid7 testou, mas a empresa os alertou há mais de um ano, o relatório afirma.
© 2019 Associated Press. Todos os direitos reservados.
