Artículo: Security Experts in Aircraft Security Warning – Infosecurity Magazine

«Los expertos en seguridad advierten que las vulnerabilidades de los sistemas de aeronaves ordenador de a bordo podría permitir a los hackers para robar datos personales y financieros de los pasajeros e interfieren con las exhibiciones de a bordo»

http://www.infosecurity-magazine.com/news/security-experts-in-aircraft/

Traducción Google:

Ruben Santamarta, consultor de seguridad principal en pruebas de intrusión IOActive , estudió los sistemas utilizados por un número de aerolíneas, incluidas Virgin Atlantic, Unidos, Reino, Iberia y American Airlines Panasonic Avionics IFE (entretenimiento en vuelo).

Después de jugar con su pantalla de IFE en un vuelo hace dos años, Santamarta descubrió que podía acceder a la información de depuración.

Una vez en tierra firme que usó esas palabras clave como punto de partida y fue capaz de encontrar cientos de actualizaciones de firmware para los sistemas – que varían ligeramente de una compañía aérea a – a disposición del público en línea, incluyendo las últimas versiones desplegadas en los aviones.

Después de la ingeniería inversa, descubrió varias vulnerabilidades que podrían permitir en teoría, los piratas informáticos para controlar de forma remota los sistemas IFE «en algunos escenarios.»

Él explicó:

«Por el lado de TI, lo que compromete el IFE significa que un atacante puede controlar cómo se informa a los pasajeros a bordo del avión. Por ejemplo, un atacante podría suplantar los valores de información de vuelo como la altitud o velocidad, y mostrar una ruta falsa en el mapa interactivo. Un atacante podría poner en peligro la unidad CrewApp, el control de la AP, la iluminación, o actuadores para las clases superiores. Si todos estos ataques están encadenados, un agente malicioso puede crear una situación incomprensible y desconcertante para los pasajeros «.

Santamarta también afirmó que es «técnicamente posible» para los hackers para obtener información personal de crédito incluyendo datos de la tarjeta gracias al back-ends que unen de nuevo a datos similares de viajeros frecuentes y.

Sin embargo, la capacidad de «cruzar la» línea roja «entre el entretenimiento de los pasajeros y la propiedad de dominio dispositivos y los sistemas de control de la propia aeronave depende en gran medida de la» dispositivos, el software y la configuración específicos «que se utiliza, afirmó.

«No podemos decir definitivamente si un atacante podría o no podría llegar al dominio de los controles del avión, como resultado de las vulnerabilidades identificadas, ya que dependerá de la configuración específica del sistema en un avión», dijo Santamarta Infosecurity . «En teoría, todos los aviones / aerolíneas deben tener una separación física de dominio.»

Añadió que los sistemas estudiados IFE no puede resistir «ataques maliciosos sólidos de actores calificados.»

«Sin embargo, Aviónica normalmente se encuentra en el dominio de control de la aeronave, que siempre debe ser físicamente aislado de los dominios de pasajeros», afirmó Santamarta. «Cuando ese es el caso, no hay absolutamente ninguna posibilidad de que los piratas informáticos que secuestran principales controles de vuelo. Sin embargo, esto no siempre sucede. Esto significa que siempre que hay una ruta física que conecta ambos dominios, existe la posibilidad de ataque «.

Las cuestiones destacadas en la investigación fueron reportados a Panasonic en marzo de 2015, a pesar de IOActive está seguro de si se han realizado mejoras para mitigar los riesgos en todas las versiones de software y líneas aéreas.

También hay que aclarar que este documento difiere de la ya famosa investigación IOActive  a partir de 2014 que detalla cómo un Jeep podría ser hackeado de forma remota en que este último contó con una demostración práctica de exactamente esto.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.