Invasão de sistema de avião por hacker ressalta problemas mais graves da indústria

O pesquisador de tecnologia de segurança Chris Roberts virou manchete no mês passado quando ele mudou o curso de um avião em Nova York fazendo a polícia federal dos Estados Unidos (FBI) acusá-lo de invadir os controles de voo do aparelho.

Outros especialistas em segurança afirmam que Roberts, que foi citado pelo FBI como tendo causado um "movimento lateral do avião durante o voo", ajudou a chamar atenção para uma questão mais ampla: que a indústria da aviação não está acompanhando a ameaça que invasores representam a aviões cada vez mais conectados a computadores.

Por meio de seu advogado, Roberts afirmou que seu único interesse foi "melhorar a segurança dos aviões".

"Isso será um marco. Vai forçar uma ação das organizações (na indústria de aviação)", disse Jonathan Butts, um ex-pesquisador da Força Aérea dos EUA que agora dirige uma empresa que trabalha em segurança de tecnologia da informação para indústrias de aviação e outros setores.

Conforme a indústria da aviação adota protocolos de comunicação similares aos usados na Internet para conectarem cockpits, cabines e controles em terra, ela se torna mais aberta a vulnerabilidades que atingem outros setores.

"Há uma enorme questão nos encarando", afirmou Brad Haines, colega de Roberts e pesquisador de segurança focado em aviação. "Você vai atirar no mensageiro?"

Mais preocupante que pessoas como Roberts, afirma Mark Gazit, presidente-executivo da companhia israelense de segurança ThetaRay, são os hackers que pesquisam sistemas de aviônica em segredo. A equipe de Gazit descobriu usuários de fóruns na Internet afirmando que conseguiram invadir, por exemplo, menus de comida em cabines, fazendo pedidos de bebidas e refeições gratuitas.

Isso pode soar como inofensivo, mas Gazit viu um padrão similar de exploração de brechas triviais envolvendo áreas mais sensíveis de outras indústrias. "Sempre começa deste jeito", disse ele.

A Boeing afirmou que apesar de sistemas de oferta de WiFi em voo possuem links de comunicação, "o projeto do sistema o isola de outros do avião que tenham papel crítico e funções essenciais". A rival europeia Airbus afirmou que seus aviões são projetados para serem protegidos de "qualquer potencial ameaça que venha do sistema de entretenimento a bordo".

Já Steve Jackson, diretor de segurança da australiana Qantas Airways afirmou que as medidas de segurança da companhia aérea serão "mais que suficientes para mitigar qualquer tentativa de interferência remota nos sistemas das aeronaves".

Mas especialistas questionam se tais sistemas podem mesmo serem completamente isolados. Em abril, um relatório do U.S. General Accountability Office, órgão de auditoria do Congresso dos EUA, citou quatro especialistas em cibersegurança que afirmam que firewalls "podem ser invadidos como qualquer outro software e contornados", dando acesso aos sistemas aviônicos usados pelos pilotos para conduzir um avião.

Este mês, o Conselho de Pesquisa Nacional dos EUA divulgou relatório sobre sistemas de comunicação da aviação em que afirma que apesar da agência norte-americana encarregada pelo setor no país, a FAA, tem ciência de que a cibersegurança é uma questão, ela "não tem sido totalmente integrada aos esforços e planejamento da agência".

No ano passado, a Organização Internacional para Aviação Civil (ICAO) destacou vulnerabilidades há muito conhecidas no novo sistema de comunicação e posicionamento de aeronaves, conhecido como ADS-B, e pediu que um grupo de trabalho seja criado para lidar com elas.

Pesquisadores como Brad Haines mostraram que o ADS-B, um substituto para o radar e outros sistemas de controle de tráfego aéreo, poderia permitir que um hacker desse informações erradas ou enganosas para pilotos e controladores em terra.

Além disso, o consultor Jonathan Butts afirmou que sua empresa, a QED Secure Solutions, identificou vulnerabilidades em componentes do ADS-B que podem dar a um invasor acesso a partes críticas de um avião.

Mas desde que apresentou suas descobertas a fabricantes e à comunidade de segurança da indústria de aviação há seis meses ele teve pouca ou nenhuma resposta.

"Isso é apenas a ponta do iceberg", afirmou.