Select Page
Cada vez más cerca

Cada vez más cerca

Un informe publicado el día de hoy, señala que es posible para un atacante alterar datos de sensores en aviones, que podrían desencadenar en desastres aéreos.

El informe de la empresa Rapid7, presenta el resultado del análisis de investigadores de dicha empresa sobre dos implementaciones de redes CAN populares en el mercado.

El bus de redes CAN (Controller Area Network) en un avión, es un medio de transmisión de datos donde viaja la información de todos los sensores del avión. Estos sensores miden parámetros físicos vitales para la operación de la aeronave, tales como los datos de parámetros del motor, o del mismo avión como: actitud, altitud, dirección, etc. Esa información se envía por un bus CAN hacia los diferentes sistemas y panel de instrumentos de la cabina del avión.

Es evidente que los pilotos necesitan esa información para navegar. En medio de la noche y a 10 mil metros de altura, el piloto no tiene idea de si está a 10 mil, 11 mil u 8 mil metros y si se está dirigiendo al Norte o al Nor-Noroeste si no fuera por sus instrumentos.

¿Qué pasaría entonces, si alguien pudiese alterar esa información?, ¿si alguien pudiera hacer que los instrumentos indiquen que está a 8 mil metros cuando en realidad está a sólo mil…? ¿..y con el avión descendiendo..?

Bueno, los investigadores descubrieron que esto es posible, al menos en aviones pequeños. Sin embargo, los buses CAN o variantes de ésta tecnología se utilizan también en aviones grandes y hasta en la industria automotriz. La popularidad de este sistema se debe a su bajo costo. En los buses CAN, TODOS los mensajes se transmiten por el mismo bus desde todos los sensores hacia todos los endpoints.  Esta característica es barata, pero como ya se habrán dado cuenta, no demasiado segura… En algunos casos se utiliza autenticación de mensajes, pero que puede saltearse fácilmente.

Otra condición para que un ataque de este tipo sea “existoso”, es que el atacante tenga acceso físico al avión…. (como por ejemplo… ¿¿¿un pasajero..???).

Por un lado, ya alguna vez hablamos sobre los pobres sistemas de seguridad que poseen las aerolíneas en sus sistemas de gestión de pasajes (1, 2). Por el otro, ya hace algunos años algunos investigadores descubrieron que los sistemas de entretenimiento de los aviones comerciales eran vulnerables. Uno de los defectos de seguridad de estos sistemas es que los dispositivos USB de los sistemas de entretenimiento, permiten conectar dispositivos como teclados o mice que son reconocidos por los sistemas. De esta forma, es posible interactuar tanto con las aplicaciones, como con los sistemas operativos.

Aquí se puede ver un ejemplo de cómo salir de la pantalla de control de un sistema de entretenimiento de un avión de una aerolínea internacional muy importante, simplemente conectando un teclado y probando diferentes combinaciones de teclas:

La pregunta entonces, es: ¿cuánto puede demorar alguien en saltar del sistema de entretenimiento a una red CAN y producir un desastre aéreo?

Tan grave fue el resultado de esta investigación y del informe publicado hoy, que el mismo US-CERT publicó hoy mismo una alerta en su página sobre infraestructuras críticas.

No por nada se están creando desde hace poco más de un año empresas de ciberseguridad que dedicarán sólo a desarrollar soluciones tendientes a mitigar potenciales ciberataques sobre aeronaves.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Dónde está la ciberseguridad? II

Dónde está la ciberseguridad? II

Dónde está la ciberseguridad? II

La ciberseguridad se vio nuevamente afectada. En septiembre pasado, escribía sobre el ciber ataque sufrido por British Airways, en la que hubieron 380 mil usuarios afectados. Mientras se revelaba que hubo otras 185 mil víctimas, otro ciber ataque a la empresa Cathay Pacific afectó a 9.4 millones de pasajeros.

En una semana plagada de noticias de ataques a empresas aéreas, la empresa IAG, dueña de British Airways, confirmó que hay otros 185 mil usuarios a los que se les robaron los datos de sus tarjetas, que sumados a los anteriores dando una cifra total de 568 mil afectados. Sin embargo, este número parece insignificante al lado del resultado del ciber ataque revelado la semana pasada contra la empresa aérea con sede en Honk Kong Cathay Pacific, a quien se comprometió la información privada de 9.4 millones de usuarios.

En este caso los atacantes pudieron acceder a los siguientes datos de los usuarios: nombres de los pasajeros, nacionalidades, fechas de nacimiento, números de teléfono, correos electrónicos, direcciones, números de pasaporte, números de documento de identidad, números de miembros del programa de viajero frecuente y comentarios de servicio al cliente e información histórica de viajes.

Ciberseguridad – el informe oficial

El informe oficial indicó que no se comprometieron datos súper sensibles, como las contraseñas de los usuarios, y que ninguno de los datos de los (…9.4 millones de…) usuarios fueron hasta el momento, objeto de uso indebido por parte de los ciber perpetradores.

Es increíble como el efecto dominó NO mejoró las condiciones de ciber seguridad de las empresas aéreas. Uno podría pensar que si se afecta a una empresa de nuestro mismo negocio, nos debería alertar pensando que nosotros podríamos ser afectados también. No fue lo que hicieron estas empresas aéreas. Para hacer un resumen, podemos decir que la secuencia de ciber ataques fue:

Usuarios afectados

1) Air Canada – 22 al 24/ago/2018 – 20 mil usuarios afectados

2) British Airways – 21/ago al 5/sep/2018 – 568 mil usuarios afectados

3) Cathay Pacific – 23/oct/2018 – 9.4 millones de usuarios afectados

4) ¿Quién sigue….?

 

 

 

 

 

 

 

 

Nota por Carlos Benitez

 

 

 

Carlos Benitez es un reconocido experto en seguridad de la información.

Dónde está la ciberseguridad de las aerolíneas…?

Dónde está la ciberseguridad de las aerolíneas…?

British Airways, la principal compañía aérea inglesa, fue víctima de un ciber ataque sin precedentes en el que fueron robados los datos de tarjetas de crédito de 380 mil usuarios de la aerolínea. Si bien la empresa no brindó datos técnicos oficiales del ataque, lo que sí se afirmó es que la persistencia del mismo fue de dos semanas. Se estima que fueron robados datos de las tarjetas de crédito de todos los usuarios que reservaron vuelos entre el 21 de Agosto y el 7 de Septiembre de este año.

Una vez que los responsables de BA detectaron el ciber ataque, el 7 de Septiembre enviaron un email a los usuarios avisando del incidente y hasta solicitando que por su seguridad den de baja sus tarjetas de crédito y las renueven. Una de las consecuencias fue la caída del valor de las acciones de British Airways.

Según los responsables de la empresa, los datos comprometidos no incluyen información de los pasaportes de los usuarios, como sí lo fueron en el ataque sufrido por la aplicación móvil de Air Canada casi en el mismo momento (entre el 22 y el 24 de Agosto) en el que se comprometieron datos de 20 mil usuarios de la aerolínea.

Desde el punto de vista técnico, la empresa RiskIQ declara que pudo analizar y reconstruir el ataque perpetrado contra los usuarios de BA. Los investigadores de la empresa sostienen que quien está detrás del incidente es el grupo ciber criminal Magecart que logró modificar un componente del sitio web de BA, el javascript modernizr. Este script tiene el inocente propósito original de verificar las capacidades del navegador que está usando el usuario para determinar qué funciones utiliza para armar la página y mejorar su experiencia.

El script modernizr modificado simplemente toma la información que ingresa el usuario y la envía al sitio baways.com que, como podrán imaginarse, no pertenece a British Airways y que posee además un certificado digital válido provisto por Comodo de forma de no alertar al usuario mostrando que el certificado digital es sospechoso.

Desde el punto de vista formal, una buena para GDPR. Debido a esta nueva norma de la que hablamos ya algunas veces, las empresas que son víctimas de ciber ataques de este tipo, están obligadas a publicar esta información dentro de las 72 hs de su descubrimiento. Esto hizo BA y varios analistas se preguntan qué hubiese pasado si la GDPR no hubiese estado en vigencia.

Es evidente que el ataque fue muy bien planeado y ejecutado. Pasó inadvertido a los responsables de ciber seguridad de BA durante 2 semanas. El o los atacantes diseñaron e instalaron infraestructura específica para llevarlo a cabo, lo que habla del nivel de sofisticación y del propósito específico de atacar a British Airways. Entonces, por otro lado, lo que cabe preguntarse es dónde estuvo enfocada la capacidad de ciber seguridad de la empresa durante esos 15 días?

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.