O ataque cibernético a aeronaves comerciais é apenas uma questão de tempo, alertaram o Departamento de Segurança Interna e outras agências governamentais dos Estados Unidos. A maioria dos aviões de passageiros carece de proteções de segurança cibernética para evitar tal hack.
Os documentos internos do DHS, obtidos por meio de uma solicitação da Lei de Liberdade de Informação, detalham vulnerabilidades em aeronaves comerciais e avaliações de risco. Vários dos documentos ainda estão sendo “retidos por isenção” do FOIA.
O lançamento inclui uma apresentação em janeiro do Pacific Northwest National Laboratory (PNNL), parte do Departamento de Energia, descrevendo os esforços do grupo para hackear uma aeronave por meio de seu serviço Wi-Fi como um teste de segurança.
O teste de hacking deveria ser realizado sem qualquer ajuda interna, de uma posição de acesso público (por exemplo, um assento de passageiro ou o terminal do aeroporto) e sem o uso de hardware que acionaria a segurança do aeroporto. De acordo com a apresentação, o hack permitiu aos pesquisadores “estabelecer presença acionável e não autorizada em um ou mais sistemas a bordo”.
Outro documento, de 2017, diz que os testes indicam que “existem vetores de ataque viáveis que podem afetar as operações de voo”. Uma apresentação do DHS incluída nos documentos diz que "a maioria das aeronaves comerciais atualmente em uso tem pouca ou nenhuma proteção cibernética". Ele aponta para o fato de que mesmo um ataque cibernético bem-sucedido pode ter um “enorme impacto na indústria de aviação global”.
LEIA MAIS: O especialista em segurança supostamente disse ao FBI que hackeado e dirigido um avião em pleno vôo
Os documentos da Diretoria de Ciência e Tecnologia do DHS alertam que as políticas e práticas atuais não são adequadas para lidar com as “consequências imediatas e devastadoras que podem resultar de um ataque cibernético catastrófico a uma aeronave comercial aerotransportada”.
A ameaça de hacks em companhias aéreas é algo conhecido há algum tempo. Em 2015, o FBI alertou a equipe para ficar atento a comportamentos incomuns depois que o especialista em segurança de computadores Chris Roberts disse que acessou os sistemas de controle da aeronave para se conectar ao console de entretenimento durante o vôo até 20 vezes.
Em novembro, o funcionário do DHS, Robert Hickey, disse que a agência hackeava com sucesso os aviônicos de um Boeing 757 comercial em 2016. Ele também afirmou que representantes da American Airlines e da Delta Airlines ficaram chocados ao saber que o governo estava ciente do risco de tais hacks por tanto tempo e não se preocupou em avisá-los.
No entanto, um porta-voz da Boeing disse ao Daily Beast que eles testemunharam o teste e "podem dizer inequivocamente que não houve nenhum hack dos sistemas de controle de voo do avião".
Em 2014, o especialista em segurança Ruben Santamarta alertou que os hackers poderiam acessar o equipamento de comunicação via satélite de um avião por meio de Wi-Fi e sistemas de entretenimento a bordo, depois que ele criou uma maneira de fazer isso sozinho. Santamarta disse que os sistemas vulneráveis não são usados apenas em aviões, mas também em “navios, veículos militares, bem como instalações industriais como plataformas de petróleo, gasodutos e turbinas eólicas”.
Na conferência Black Hat 2018, a Santamarta demonstrará como é possível hackear uma aeronave do solo, acessando a rede Wi-Fi e alcançando a comunicação via satélite do avião, que poderia ser transformada em arma como uma ferramenta de radiofrequência (RF).
“São casos reais. Eles não são mais cenários teóricos ”, disse ele ao Dark Reading. “Estamos usando [vulnerabilidades] em dispositivos de satcom para transformar esses dispositivos em armas.”
