Basta armi: per dirottare un aereo potebbe bastare uno smartphone. Nella foto: il volo TWA 847 dirottato nel 1985 da un commando di terroristi. (© Alain Nogues/Sygma/Corbis)
“C’è una app per tutto”, recitava qualche tempo fa la pubblicità di una nota marca di smartphone. E da oggi c’è una app anche per mandare in tilt i sistemi elettronici di un aereo di linea. L’ha sviluppata il tedesco Hugo Teso, esperto di sicurezza informatica ed ex pilota civile.
Hacker volante L’inquietante software è il frutto di 3 anni di lavoro ed è stato presentato la scorsa settimana alla Hack in the Box 2013, una delle più importanti conferenze sulla sicurezza digitale che si tiene ogni anno ad Amsterdam. Teso, che non è un terrorista ma un rispettabile professionista molto apprezzato nel suo campo, con la sua app ha voluto mettere in luce le falle, o exploit come le chiamano gli esperti, dei sistemi elettronici attualmente utilizzati nell’aviazione civile.
Secondo Teso il primo bug sarebbe nel Automated Dependent Surveillance-Broadcast (ADS-B), un sistema di controllo utilizzato per l’identificazione e il tracciamento dei movimenti a terra degli aeromobili. Questo apparato è privo di sistemi di criptazione e autenticazione delle comunicazioni e ciò lo renderebbe un facile bersaglio per terroristi e malintenzionati informatici.
Come ti cracco il BoeingE altrettanto vulnerabile sarebbe l’Aircraft Communications Addressing and Reporting System (ACARS), il sistema che permette ai velivoli di comunicare via radio e via satellite con le stazioni poste a terra. Nella sua dimostrazione Teso ha utilizzato ACARS per caricare dei dati falsi nel sistema di volo di un simulatore, il cui software è identico a quello utilizzato sui veri aeroplani.
Grazie alla sua applicazione PlaneSploit (ovviamente non disponibile sugli app store) e a un comune smartphone Android, l’esperto ha dimostrato di essere in grado di disinnestare il pilota automatico, prendere il controllo della cloche, cambiare la rotta, far schiantare l’aereo a terra e aprire i comparti delle maschere dell’ossigeno.
Agghiacciante vero?
Ma la cosa più preoccupante è che Teso si è procurato tutto l’hardware e il software necessario a condurre i test, cioè le apparecchiature informatiche di bordo degli aerei di linea, per poche centinaia di euro su eBay e altri siti web.
“Il sistema ACARS non ha alcun tipo di protezione: ciò significa che l’aereo non è in grado di capire la provenienza e la genuinità dei messaggi che riceve” ha spiegato Teso in un‘ intervista a Forbes. “In altre parole, con la mia app, è possibile impartire all’aereo qualsiasi comando”.
La realizzazione di attacco informatico di questo tipo ai sistemi di controllo degli aerei richiede comunque competenze informatiche di alto livello.
Si corre ai ripariA tranquillizzare i passeggeri ci provano le aziende che producono i sistemi informatici utilizzati sui velivoli commerciali, sottolineando come la dimostrazione di Teso abbia avuto come bersaglio un simulatore disponibile pubblicamente e privo, a differenza degli aerei veri, di qualunque protocollo di sicurezza.
La Federal Aviation Administration statunitense e la European Aviation Safety Administration hanno comunque già preso contatti con l’esperto tedesco e si sono impegnate ad analizzare e correggere le falle in tempi molto rapidi.
Hacker volante L’inquietante software è il frutto di 3 anni di lavoro ed è stato presentato la scorsa settimana alla Hack in the Box 2013, una delle più importanti conferenze sulla sicurezza digitale che si tiene ogni anno ad Amsterdam. Teso, che non è un terrorista ma un rispettabile professionista molto apprezzato nel suo campo, con la sua app ha voluto mettere in luce le falle, o exploit come le chiamano gli esperti, dei sistemi elettronici attualmente utilizzati nell’aviazione civile.
Secondo Teso il primo bug sarebbe nel Automated Dependent Surveillance-Broadcast (ADS-B), un sistema di controllo utilizzato per l’identificazione e il tracciamento dei movimenti a terra degli aeromobili. Questo apparato è privo di sistemi di criptazione e autenticazione delle comunicazioni e ciò lo renderebbe un facile bersaglio per terroristi e malintenzionati informatici.
Come ti cracco il BoeingE altrettanto vulnerabile sarebbe l’Aircraft Communications Addressing and Reporting System (ACARS), il sistema che permette ai velivoli di comunicare via radio e via satellite con le stazioni poste a terra. Nella sua dimostrazione Teso ha utilizzato ACARS per caricare dei dati falsi nel sistema di volo di un simulatore, il cui software è identico a quello utilizzato sui veri aeroplani.
Grazie alla sua applicazione PlaneSploit (ovviamente non disponibile sugli app store) e a un comune smartphone Android, l’esperto ha dimostrato di essere in grado di disinnestare il pilota automatico, prendere il controllo della cloche, cambiare la rotta, far schiantare l’aereo a terra e aprire i comparti delle maschere dell’ossigeno.
Agghiacciante vero?
Ma la cosa più preoccupante è che Teso si è procurato tutto l’hardware e il software necessario a condurre i test, cioè le apparecchiature informatiche di bordo degli aerei di linea, per poche centinaia di euro su eBay e altri siti web.
“Il sistema ACARS non ha alcun tipo di protezione: ciò significa che l’aereo non è in grado di capire la provenienza e la genuinità dei messaggi che riceve” ha spiegato Teso in un‘ intervista a Forbes. “In altre parole, con la mia app, è possibile impartire all’aereo qualsiasi comando”.
La realizzazione di attacco informatico di questo tipo ai sistemi di controllo degli aerei richiede comunque competenze informatiche di alto livello.
Si corre ai ripariA tranquillizzare i passeggeri ci provano le aziende che producono i sistemi informatici utilizzati sui velivoli commerciali, sottolineando come la dimostrazione di Teso abbia avuto come bersaglio un simulatore disponibile pubblicamente e privo, a differenza degli aerei veri, di qualunque protocollo di sicurezza.
La Federal Aviation Administration statunitense e la European Aviation Safety Administration hanno comunque già preso contatti con l’esperto tedesco e si sono impegnate ad analizzare e correggere le falle in tempi molto rapidi.
Nessun commento:
Posta un commento
KG: