Nur Foto | imágenes falsas
Una noche de septiembre pasado, el investigador de seguridad Rubén Santamarta se sentó en la oficina de su casa en Madrid y participó en una búsqueda creativa en Google, en busca de documentos técnicos relacionados con su obsesión de años: la ciberseguridad de los aviones. Se sorprendió al descubrir un servidor totalmente desprotegido en la red de Boeing, aparentemente lleno de código diseñado para ejecutarse en los gigantescos aviones de pasajeros 737 y 787 de la compañía, accesible públicamente y abierto a cualquiera que lo encontrara. Así que descargó todo lo que pudo ver.
Ahora, casi un año después, Santamarta afirma que el código filtrado lo llevó a algo sin precedentes: fallas de seguridad en uno de los componentes del 787 Dreamliner, en lo profundo de la red de múltiples niveles del avión. Él sugiere que para un pirata informático, explotar esos errores podría representar un paso en un ataque de múltiples etapas que comienza en el sistema de entretenimiento en vuelo del avión y se extiende a sistemas altamente protegidos y críticos para la seguridad, como controles de vuelo y sensores.
Boeing niega rotundamente que tal ataque sea posible y rechaza su afirmación de haber descubierto un camino potencial para llevarlo a cabo. El propio Santamarta admite que no tiene una imagen lo suficientemente completa de la aeronave, ni acceso a un avión de $250 millones, para confirmar sus afirmaciones. Pero él y otros investigadores de seguridad cibernética de la aviónica que han revisado sus hallazgos argumentan que si bien un ataque cibernético completo en los sistemas más sensibles de un avión está lejos de ser una amenaza material, las fallas descubiertas en el código del 787 representan una preocupante falta de atención a la seguridad cibernética por parte de Boeing. También dicen que las respuestas de la compañía no han sido del todo tranquilizadoras, dada la importancia crítica de mantener los aviones comerciales a salvo de los piratas informáticos.
En la conferencia de seguridad Black Hat hoy en Las Vegas, Santamarta, investigador de la firma de seguridad IOActive, planea presentar sus hallazgos, incluidos los detalles de múltiples fallas de seguridad graves en el código de un componente del 787 conocido como Servicio de información de la tripulación. Sistema de mantenimiento. El CIS/MS es responsable de aplicaciones como los sistemas de mantenimiento y la llamada bolsa de vuelo electrónica, una colección de documentos y manuales de navegación utilizados por los pilotos. Santamarta dice que encontró una gran cantidad de vulnerabilidades de corrupción de memoria en ese CIS/MS, y afirma que un pirata informático podría usar esas fallas como un punto de apoyo dentro de una parte restringida de la red de un avión. Un atacante podría pasar potencialmente, dice Santamarta, del sistema de entretenimiento a bordo al CIS/MS para enviar comandos a componentes mucho más sensibles que controlan los sistemas críticos para la seguridad del avión, incluidos el motor, los frenos y los sensores. Boeing sostiene que otras barreras de seguridad en la arquitectura de red del 787 harían imposible esa progresión.
Santamarta admite que no tiene suficiente visibilidad de las partes internas del 787 para saber si esas barreras de seguridad se pueden eludir. Pero él dice que su investigación, no obstante, representa un paso significativo para mostrar la posibilidad de una técnica real de piratería de aviones. «No tenemos un 787 para probar, por lo que no podemos evaluar el impacto», dice Santamarta. «No estamos diciendo que sea el día del juicio final, o que podamos derribar un avión. Pero podemos decir: esto no debería suceder».
Cortafuegos voladores
En un comunicado, Boeing dijo que había investigado las afirmaciones de IOActive y concluyó que no representan ninguna amenaza real de ciberataque. «Los escenarios de IOActive no pueden afectar ningún sistema de avión crítico o esencial y no describen una forma para que los atacantes remotos accedan a sistemas importantes del 787 como el sistema de aviónica», se lee en el comunicado de la compañía. «IOActive revisó solo una parte de la red 787 usando herramientas rudimentarias y no tuvo acceso al sistema más grande ni a los entornos de trabajo. IOActive optó por ignorar nuestros resultados verificados y las limitaciones en su investigación y, en cambio, hizo declaraciones provocativas como si tuvieran acceso a y analizó el sistema de trabajo. Si bien apreciamos el compromiso responsable de los investigadores independientes de seguridad cibernética, estamos decepcionados con la presentación irresponsable de IOActive».
En una llamada de seguimiento con WIRED, un portavoz de la compañía dijo que al investigar las afirmaciones de IOActive, Boeing había ido tan lejos como para poner un Boeing 787 real en «modo de vuelo» para probarlo, y luego hizo que sus ingenieros de seguridad intentaran explotar las vulnerabilidades. que Santamarta había expuesto. Descubrieron que no podían llevar a cabo un ataque exitoso. Honeywell, que suministró a Boeing el código para el CIS/MS, también escribió en un comunicado a WIRED que «después de extensas pruebas, Honeywell y sus socios determinaron que no existe una amenaza para la seguridad del vuelo ya que los sistemas críticos del 787 no pueden verse afectados».
Las afirmaciones de ataque de IOActive, así como las negativas de Honeywell y Boeing, se basan en la arquitectura específica de los componentes internos del 787. Los sistemas digitales del Dreamliner se dividen en tres redes: una Red Abierta de Datos, donde viven componentes no sensibles como el sistema de entretenimiento a bordo; una red de datos aislados, que incluye componentes algo más sensibles como el CIS/MS al que apunta IOActive; y finalmente la Red Común de Datos, la más sensible de las tres, que se conecta a los sistemas de seguridad y aviónica del avión. Santamarta afirma que las vulnerabilidades que encontró en el CIS/MS, intercaladas entre el ODN y el CDN, proporcionan un puente entre uno y otro.
Pero Boeing responde que tiene «mecanismos de protección adicionales» en el CIS/MS que evitarían que sus errores sean explotados desde el ODN, y otro dispositivo de hardware entre el IDN semisensible, donde se encuentra el CIS/MS, y el CDN altamente sensible. Esa segunda barrera, argumenta la compañía, permite que solo los datos pasen de una parte de la red a la otra, en lugar de los comandos ejecutables que serían necesarios para afectar los sistemas críticos del avión.
“Aunque no brindamos detalles sobre nuestras medidas y protecciones de ciberseguridad por razones de seguridad, Boeing confía en que sus aviones están a salvo de ciberataques”, concluye el comunicado de la compañía.
Boeing dice que también consultó con la Administración Federal de Aviación y el Departamento de Seguridad Marketingdecontenido sobre el ataque de Santamarta. Si bien el DHS no respondió a una solicitud de comentarios, un portavoz de la FAA escribió en un comunicado a WIRED que está «satisfecho con la evaluación del problema por parte del fabricante».
“Esto es Seguridad 101”
Las nuevas afirmaciones de fallas de software se producen en el contexto del escándalo en curso sobre el avión 737 Max de Boeing en tierra, después de que los controles defectuosos del avión contribuyeron a dos accidentes que mataron a 346 personas. Al mismo tiempo, Santamarta tiene su propia historia de desacuerdos no resueltos con la industria aeroespacial sobre sus medidas de ciberseguridad. Anteriormente hackeó un sistema de entretenimiento a bordo de Panasonic Avionics. Y en la conferencia Black Hat del año pasado, por ejemplo, presentó vulnerabilidades en los sistemas de comunicación satelital que, según dijo, podrían usarse para piratear algunos sistemas de aviones no sensibles. El Centro de Análisis e Intercambio de la Industria de la Aviación respondió en un comunicado de prensa que sus hallazgos se basaron en «errores técnicos». Santamarta respondió que la A-ISAC estaba «matando al mensajero», intentando desacreditarlo en lugar de abordar su investigación.
Pero incluso aceptando las afirmaciones de Boeing sobre sus barreras de seguridad, las fallas que encontró Santamarta son lo suficientemente notorias como para no descartarlas, dice Stefan Savage, profesor de ciencias de la computación en la Universidad de California en San Diego, quien actualmente trabaja con otros investigadores académicos. en una plataforma de prueba de ciberseguridad de aviónica. «La afirmación de que uno no debe preocuparse por una vulnerabilidad porque otras protecciones evitan que se explote tiene un historial muy malo en la seguridad informática», dice Savage. «Normalmente, donde hay humo, hay fuego».
Savage señala en particular una vulnerabilidad que Santamarta destacó en una versión del sistema operativo integrado VxWorks, en este caso personalizado para Boeing por Honeywell. Santamarta descubrió que cuando una aplicación solicita escribir en la memoria de la computadora subyacente, el sistema operativo personalizado no verifica correctamente que no esté sobrescribiendo el kernel, el núcleo más sensible del sistema operativo. En combinación con varios errores a nivel de aplicación que encontró Santamarta, la llamada vulnerabilidad de escalada de privilegios de verificación de parámetros representa una falla grave, argumenta Savage, que se vuelve más grave por la noción de que VxWorks probablemente se ejecuta en muchos otros componentes en el plano que podrían tener el mismo insecto.
«Cada pieza de software tiene errores. Pero aquí no es donde me gustaría encontrar los errores. Verificar los parámetros del usuario es seguridad 101», dice Savage. “No deberían tener este tipo de vulnerabilidades directas, especialmente en el núcleo. En la actualidad, sería inconcebible que un sistema operativo de consumo no verificara los parámetros del puntero del usuario, por lo que esperaría lo mismo de un avión. «
Otro investigador académico de seguridad cibernética en aviónica, Karl Koscher de la Universidad de Washington, dice que ha encontrado fallas de seguridad tan graves en un componente de aeronave como las que Santamarta informó en el CIS/MS. «Quizás Boeing lo trató intencionalmente como no confiable, y el resto del sistema puede manejar esa parte no confiable», dice Koscher. «Pero decir: ‘No importa porque hay mitigaciones más abajo’ no es una buena respuesta. Especialmente si algunas de las mitigaciones resultan no ser tan sólidas como crees».
Koscher también señala el acceso de CIS/MS a la bolsa de vuelo electrónica, llena de documentos y materiales de navegación a los que el piloto de un avión puede referirse a través de una tableta en la cabina. Corromper esos datos podría causar su propia forma de caos. «Si puede crear confusión y desinformación en la cabina, eso podría conducir a resultados bastante malos», señala Koscher. (Un portavoz de Boeing dice que el EFB tampoco puede verse comprometido por el CIS/MS, a pesar de que ambos están ubicados en la misma parte de la red del 787).
Grandes colecciones voladoras de computadoras
Para ser claros, ni Savage ni Koscher creen que, basándose únicamente en los hallazgos de Santamarta, un pirata informático pueda causar un peligro inmediato para una aeronave o sus pasajeros. «Esto está muy lejos de ser una amenaza inminente para la seguridad. Según lo que tienen ahora, creo que podrías dejar que los muchachos de IOActive se vuelvan locos en un 787 y aún me sentiría cómodo volando en él», dice Savage. «Pero Boeing tiene trabajo que hacer».
Evaluar si los hallazgos de IOActive realmente representan un paso hacia un ataque serio es difícil, señala Savage, simplemente debido a la logística imposible de la investigación de seguridad de aviones. Empresas como Boeing tienen los medios para probar exhaustivamente la seguridad de un avión de un cuarto de billón de dólares, pero también tienen profundos conflictos de intereses sobre los resultados que publican. Los piratas informáticos independientes como Santamarta de IOActive no tienen los recursos para llevar a cabo esas investigaciones completas, incluso como los piratas informáticos estatales con muchos recursos u otros dispuestos a probar en aviones reales en el aire.
La investigación de Santamarta, a pesar de las negativas y garantías de Boeing, debería ser un recordatorio de que la seguridad de las aeronaves está lejos de ser un área resuelta de la investigación en ciberseguridad. «Este es un recordatorio de que los aviones, como los automóviles, dependen de sistemas informáticos en red cada vez más complejos», dice Savage. «No pueden escapar de las vulnerabilidades que vienen con esto».
Esta historia apareció originalmente en wired.com.
