Los medios de transporte ya tienen IP
Un tweet un poco aciago
Chris Roberts, el autor de este tweet, es un investigador en temas de seguridad quien, como tantos otros, identifica vulnerabilidades en los sistemas y avisa a las empresas para que las subsanen. En este caso, tan sólo envió este tweet desde un avión en vuelo, bromeando sobre la posibilidad de envío de mensajes de alertade seguridad a la tripulación (EICAS - Engine Indicator Crew Alert System), por ejemplo, activar las mascarillas de oxígeno, todo esto a través del sistema de comunicaciones para los pasajeros[i].
Esto provocó que en el aeropuerto de destino lo estuviera esperando el FBI, acusándolo de haber entrado en los sistemas de comunicaciones del avión, y quitándole su ordenador y demás dispositivos. Al parecer, este no era su primer tweet acerca de la seguridad en los aviones, Chris llevaba ya varios años avisando de las vulnerabilidades en los aviones, como en este otro tweet[ii] suyo, simplemente fue una mala idea la manera en que quiso concienciar acerca del problema.
La IP en los aviones
En dicho vuelo Chris no accedió a las red privada de vuelo, pero, según WIRED[iii], en otros anteriores sí se había conectado más de una docena de veces a puertos de la red situados debajo de su asiento, pudiendo rastrear el tráfico de la red y descubriendo, así, vulnerabilidades.
Resulta sorprendente que se pueda tener acceso físico a la red por medio de conectores colocados debajo de los asientos de los pasajeros. Esto contraviene una de las más básicas medidas de seguridad que esproteger el acceso físico a un sistema.
La seguridad física se entiende como la prevención de accesos no autorizados a recursos, por ejemplo el acceso a servidores, manteniendo estos "bajo llave" y controlando y monitorizando su acceso. Esto se incumple claramente con la mala práctica de colocar conectores a la red debajo de los asientos de los viajeros. ¡A quién se le va a ocurrir meter la mano debajo del asiento!
El tweet tuvo como consecuencia, aparte de la detención de Chris, una serie de artículos que, tomándolo como excusa, sirvieron para tratar, por una parte, el poco caso que algunas empresas hacen de los avisos que WhiteHat-hackers (hackers bienintencionados) realizan sobre vulnerabilidades en productos o sistemas, como, entre otros, el artículoiv "Hacker’s Tweet Reignites Ugly Battle Over Security Holes", publicado por Wired.
Y por otra parte, sobre las ciber-amenazas en la aviación comercial, como "Did The Aviation Industry Fail Cybersecurity 101?"[v], en el que se destaca la necesidad del principio de la ciber-seguridad desde el diseño de los componentes, en vez de ir poniendo capas de seguridad, después de que los sistemas estén funcionando, y recuerda la seguridad física como una de las primeras medidas de la seguridad en los sistemas.
El informe GAO
Pero, ¿qué es lo que ha cambiado para que se produzca tanto revuelo en cuanto a la ciber-seguridad en la aviación? Una buena pista la podemos encontrar en un informe[vi] que la "Government Accountability Office" de Estados Unidos publicó una semana previa al incidente de Chris Roberts y su tweet, en el que dibujaba posibles escenarios de ciber-ataques en los aviones modernos y en el nuevo sistema de control del tráfico aéreo -ATC, Air Traffic Control- en EEUU conocido como "NextGen".
Hasta hace relativamente poco, los sistemas que componían el control del tráfico aéreo se comunicaban a través de redes dedicadas punto a punto y el avión tenía una comunicación terrestre con las torres de control, y su posición se conocía a través de radares. Además, el sistema de control de vuelo constituía un sistema aislado al que no se podía acceder desde el exterior, sistema cerrado a especialistas.
Esta situación, como en casi todos los sectores de la industria, ha ido cambiando a sistemas integrados de información y distribución de la misma, comunicaciones digitales entre todos los elementos del sistema, los controladores y los pilotos, y tecnología de vigilancia y navegación por satélite, o GPS -Global Positioning System-. Todo ello hace que el sistema de control de tráfico aéreo tenga una serie de nuevos riesgos y aumenten las posibilidades de ciber-ataques.
Por ejemplo, la conexión WI-FI a Internet para los pasajeros dentro del avión es una puerta entre el avión y el mundo exterior. Si la red Ethernet del avión es compartida tanto por los pasajeros como por los sistemas de navegación, y todo conectado al mismo router, tal y como se puede ver en la figura-4 del informe citado, el riesgo de accesos no autorizados a dichos sistemas es muy alto, a pesar del firewall que se pueda poner a la entrada de los sistemas de navegación. Esto sucede, por ejemplo en el Boeing 787 y en los Airbus A350 y A380.
Un malware introducido en una página web visitada por un pasajero puede ser la puerta de entrada a un acceso no autorizado, o una conexión física en el asiento de un pasajero a la red del avión, caso ya explotado, con fines simplemente de investigación, por Chris Roberts.
Tanto desde dentro del avión como desde fuera, por medio de la conexión a Internet del avión, se podría tomar control del vuelo, poner malware en los sistemas, tomar control de los sistemas de alerta de la tripulación, y, en general poner en peligro físico el avión como tal, al hacerse con el control de sus ordenadores.
De hecho, parece que algunos aviones están preparados para que se pueda tomar control desde tierra en caso de una emergencia, según la CNN en "GAO: Newer aircraft vulnerable to hacking"[vii], aunque esta tecnología parece que aún está lejos de ser segura.
La digitalización del control del espacio aéreo en Europa
Esta modernización -o más bien digitalización- del sistema de control del espacio aéreo no es exclusiva de EEUU. En Europa hay en marcha otro proyecto denominado SESAR (Single European Sky ATM -Air Traffic Management- Research), cuyo plan de desarrollo está detallado en el documento "European ATM Master Plan"[viii].
Para cumplir con el objetivo de un sistema de gestión del tráfico aéreo en Europa sostenible y competitivo, el plan contempla un soporte a la automatización, con la implementación de tecnologías de virtualización así como el uso de sistemas interconectados, interoperables y estandarizados. La infraestructura del sistema evolucionará gradualmente hacia una tecnología digitalizada.
Todo esto supone unos riesgos tecnológicos que el documento recoge en el punto "5.5.4 Cybersecurity", exponiendo su preocupación tanto por el tema de la interconectividad como por el de la interoperabilidad.
La interconectividad y la integración entre distintos actores -aeropuertos, aerolíneas, etc.- supone una mayor superficie de ataque. Al estar todo conectado, entrando por una vulnerabilidad de un sistema, sería posible alcanzar cualquier otro punto de otro sistema conectado.
La interoperabilidad llevaría a un incremento en el uso de componentes estándar que daría lugar a una pérdida de diversidad e incrementaría la probabilidad de introducir vulnerabilidades ya conocidas en el sistema.
Por ello aconseja tratar el tema de la ciber-seguridad desde el diseño, en lugar de esperar a que los sistemas estén funcionando, reconociendo que la ciber-seguridad no es un tema estático, sino que evoluciona con la sofisticación de los atacantes y con los cambios en los sistemas que introducen nuevas vulnerabilidades.
Otros medios de transporte
No sólo los sistemas de la aviación se han apuntado a la conectividad IP, ya conocemos la conectividad de los automóviles para proveer servicios al conductor y las noticias sobre vulnerabilidades en sus sistemas. Una de las últimas -The Hacker News[ix] la publicó el pasado 6 de junio- tiene que ver con el Mitsubishi Outlander. Según la noticia, un experto en seguridad ha encontrado una vulnerabilidad en su sistema WI-FI que permitiría acceder remotamente al vehículo y desconectar sus sistema de alarma para poder robarlo. En el mismo artículo hay enlaces a noticias como que "Hackers encuentran una manera para desconectar el sistema de airbags". Quien dice automóvil, dice autobuses o camiones de transporte.
Los medios de transporte de personas y mercancías, y las redes que los soportan tienen un gran importancia. Por esto tienen un tratamiento especial y son considerados como "Infraestructuras críticas (IC)".
Según la UE, IC se considera "cualquier activo, sistema o parte de ello localizado en un estado miembro el cual es imprescindible para el mantenimiento de las funciones sociales, salud, seguridad en personas y cosas, economía o bienestar de las personas, cuya interrupción, alteración o destrucción tendría un impacto significativo en el estado miembro como resultado del fallo en el mantenimiento de tales funciones"[x].
La UE está trabajando en que las redes de transporte sean más eficientes y sostenibles. Para ello ha definido una serie de programas dentro de lo que llama "Sistemas de transporte inteligente o ITS -Intelligent transport systems-", que define como la aplicación de las tecnologías de la información y las comunicaciones al transporte, para mejorar sus niveles de servicio y eficiencia. Dentro de esto están incluidos todos los medios: transporte por carretera, tren, marítimo y, por supuesto, aéreo ya comentado.
¿Pero ganaremos en seguridad? ¿O lo que se gana por tener un control más exhaustivo de las redes de transporte se pierde por el tema de la inseguridad de los sistemas digitales y las redes de interconexión?
Conclusión
Considerando que poco a poco cada vez más cosas están conectadas a Internet y por tanto entre sí, desde los coches a los aviones y los trenes, las carreteras y las vías de los trenes, la ropa que llevaremos en un futuro o el medidor de nuestras constantes vitales, parece que va a haber muchas infraestructuras críticas, ya que un fallo de ciber-seguridad puede paralizar en muchas cosas alguna de las funciones consideradas críticas para una sociedad.
Sería importante considerar dotar a cualquier sistema que se vaya a conectar de todas las medidas de seguridad que se conozcan y sean pertinentes; y no poner trabas por perder el control sobre, por ejemplo los cifrados fuertes en las comunicaciones de los ciudadanos; o no permitir publicidad en nuestros sistemas porque pueden traer malware.
¿A quién o quienes les interesa este mundo cada vez más inseguro? ¿Por qué no se hace nada para que la tecnología nazca segura?
Debemos impedir que se haga realidad el título de un artículo de "El País" del pasado 29 de mayo: “En 2020 ya no podremos proteger nuestras redes frente a los ataques”[xi].
Más que nada es que los transportes no tripulados ya constituyen una realidad: aviones, es decir, drones; automóviles, los de Google y Tesla, por ejemplo; trenes, que según el artículo de El Mundo titulado "Europa quiere trenes 'sin conductor'"[xii], los trenes del metro de Madrid y Bilbao realmente ya funcionan sin conductor, el cual está presente sólo para tranquilidad del usuario; y barcos, como el Relationship de 1998, que según un artículo[xiii] de Der Spiegel reproducido por El País, dicho barco -un trimarán de 11 metros- estaba gobernado por un ordenador a bordo que manejaba las velas, el timón y trazaba su trayectoria, y desde un centro de control en Alemania vigilaban su ruta con cámaras de vídeo y satélite.
* * *
Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto,2016, nº 313, pg.80, Ciberseguridad – "Los medios de transporte ya tienen IP" – María José de la Calle.
-----------------------------------
[i] Una explicación detallada del significado de este tweet la podemos encontrar en la siguiente url [a 9-06-2016] https://news.ycombinator.com/item?id=9402667
[ii] url [a 9-06-2016] https://twitter.com/Sidragon1/status/589050973504536576
[iii] Kim Zetter, 21, Abr, 2015. "Feds Warn Airlines to Look Out for Passengers Hacking Jets". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/fbi-tsa-warn-airlines-tampering-onboard-wifi/
[iv] Kim Zetter, 21, Abr, 2015. "Hacker’s Tweet Reignites Ugly Battle Over Security Holes". WIRED. url [a 9-06-2016] https://www.wired.com/2015/04/twitter-plane-chris-roberts-security-reasearch-cold-war/
[v] Lane Thames, 23, Jun, 2015. "Did The Aviation Industry Fail Cybersecurity 101?". Tripwire/ The State of Security. url [a 9-06-2016] http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-aviation-industry-did-they-fail-cybersecurity-101/
[vi] Gerald L. Dillingham, Ph.D., Gregory C. Wilshusen, Nabajyoti Barkakati Ph.D., Abr, 2015. "Air Traffic Control. FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen". United States Government Accountability Office, GAO-15-370. url [a 9-06-2016] http://www.gao.gov/assets/670/669627.pdf
[vii] Matthew Hoye and Rene Marsh, 15, Abr, 2015. "GAO: Newer aircraft vulnerable to hacking". CNN. url [a 9-06-2016] http://edition.cnn.com/2015/04/14/politics/gao-newer-aircraft-vulnerable-to-hacking/
[viii] "European ATM Master Plan. Executive View - Edition 2015". Luxembourg: Publications Office of the European Union, 2015. url [a 9-06-2016] http://ec.europa.eu/transport/modes/air/sesar/doc/eu-atm-master-plan-2015.pdf
[ix] Swati Khandelwal, 6, Jun, 2016. "Mitsubishi Outlander Car's Theft Alarm Hacked through Wi-Fi". The Hacker News. url [a 9-06-2016] http://thehackernews.com/2016/06/mitsubishi-car-hacking.html?
[x] Directiva europea 2008/114/EC del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. url [a 9-06-2016] http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv%3Ajl0013
[xi] Beatriz Guillén, 29, May, 2016. "En 2020 ya no podremos proteger nuestras redes frente a los ataques". El País. url [a 9-06-2016] http://tecnologia.elpais.com/tecnologia/2016/05/06/actualidad/1462550216_094378.html
[xii] Eugenio Mallol, 26, Sept, 2015. "Europa quiere trenes 'sin conductor'". El Mundo. url [a 9-06-2016] http://www.elmundo.es/economia/2015/09/21/55ffdcc9268e3e8d088b4585.html
[xiii] Der Spiegel , 7, Jun, 1998. "Un barco sin piloto hará escala en Canarias en su vuelta al mundo". El País. url [a 9-06- 2016] http://elpais.com/diario/1998/06/07/sociedad/897170405_850215.html
Comments (0)