Il Department of Homeland Security ha emesso un avviso di sicurezza martedì per piccoli aerei, avvertendo che i moderni sistemi di volo sono vulnerabili all'hacking se qualcuno riesce ad ottenere l'accesso fisico all'aereo.

Un avviso del team di risposta alle emergenze informatiche delle infrastrutture critiche del DHS raccomanda che i proprietari di aerei si assicurino di limitare l'accesso fisico non autorizzato ai loro aeromobili fino a quando l'industria non sviluppa misure di sicurezza per affrontare il problema, che è stato scoperto da una società di sicurezza informatica con sede a Boston e segnalato al governo federale.

La maggior parte degli aeroporti dispone di sistemi di sicurezza per limitare l'accesso non autorizzato e non ci sono prove che qualcuno abbia sfruttato la vulnerabilità. Ma un funzionario del DHS ha dichiarato all'Associated Press che l'agenzia ha confermato in modo indipendente il difetto di sicurezza con partner esterni e un laboratorio di ricerca nazionale, e ha deciso che era necessario emettere l'avvertimento.

L'azienda di sicurezza informatica, Rapido7, scoperto che un utente malintenzionato potrebbe potenzialmente interrompere i messaggi elettronici trasmessi attraverso la rete di un piccolo aereo, ad esempio collegando un piccolo dispositivo al suo cablaggio, che influenzerebbe i sistemi aeronautici.

Letture del motore, dati della bussola, altitudine e altre letture "potrebbero essere tutte manipolate per fornire misurazioni false al pilota, "secondo l'allerta del Dhs.

L'avvertimento riflette il fatto che i sistemi aeronautici dipendono sempre più da sistemi di comunicazione in rete, proprio come le auto moderne. L'industria automobilistica ha già adottato misure per affrontare preoccupazioni simili dopo che i ricercatori hanno esposto le vulnerabilità.

Il rapporto Rapid7 si è concentrato solo su piccoli velivoli perché i loro sistemi sono più facili da acquisire per i ricercatori. Gli aerei di grandi dimensioni utilizzano spesso sistemi più complessi e devono soddisfare requisiti di sicurezza aggiuntivi. L'avviso DHS non si applica ai piccoli aerei più vecchi con sistemi di controllo meccanici.

Ma Patrick Kiley, Il ricercatore capo di Rapid7 sulla questione, ha affermato che un utente malintenzionato potrebbe sfruttare la vulnerabilità con l'accesso a un aereo o aggirando la sicurezza dell'aeroporto.

"Qualcuno con cinque minuti e un set di grimaldelli può accedere (o) c'è un facile accesso attraverso il vano motore, " ha detto Kiley.

Jeffrey Troy, presidente dell'Aviation Information Sharing and Analysis Center, un'organizzazione del settore per le informazioni sulla sicurezza informatica, ha affermato che è necessario migliorare la sicurezza nei sistemi operativi in ​​rete, ma ha sottolineato che l'hack dipende dall'elusione dei controlli di sicurezza fisica imposti dalla legge.

Con accesso, "hai centinaia di possibilità per interrompere qualsiasi sistema o parte di un aeromobile, " disse Troia.

La Federal Aviation Administration ha dichiarato in una dichiarazione che uno scenario in cui qualcuno ha accesso fisico illimitato è improbabile, ma il rapporto è anche "un importante promemoria per rimanere vigili" sulle procedure fisiche e di sicurezza informatica degli aerei.

La sicurezza informatica dell'aviazione è stata una questione di crescente preoccupazione in tutto il mondo.

A marzo, l'ispettore generale del Dipartimento dei trasporti degli Stati Uniti ha scoperto che la FAA "non aveva completato un completo, quadro politico strategico per identificare e mitigare i rischi di sicurezza informatica." La FAA ha concordato e ha affermato che avrebbe cercato di mettere in atto un piano entro la fine di settembre.

L'organismo delle Nazioni Unite per l'aviazione ha proposto la sua prima strategia per proteggere l'aviazione civile dagli hacker che dovrebbe essere presentata all'Assemblea generale a settembre, disse Peter Cooper, un ex pilota di jet veloce della Royal Air Force e ufficiale delle operazioni informatiche che fornisce consulenza all'industria aeronautica.

Il rapporto sulla divulgazione delle vulnerabilità è il prodotto di quasi due anni di lavoro di Rapid7. Dopo che i loro ricercatori hanno valutato il difetto, l'azienda ha allertato il DHS. L'avviso del DHS di martedì raccomanda ai produttori di rivedere il modo in cui implementano questi sistemi elettronici aperti noti come "il bus CAN" per limitare la capacità di un hacker di eseguire un tale attacco.

Il bus CAN funziona come il sistema nervoso centrale di un piccolo aereo. Mirarlo potrebbe consentire a un aggressore di dirottare furtivamente le letture dello strumento di un pilota o addirittura di prendere il controllo dell'aereo, secondo il rapporto Rapid7 ottenuto da The AP.

"Il CAN bus è completamente insicuro, " ha detto Chris King, un esperto di sicurezza informatica che ha lavorato all'analisi della vulnerabilità di sistemi su larga scala. "Non è mai stato progettato per essere in un ambiente contraddittorio, (quindi non c'è) alcuna convalida" che ciò che viene detto al sistema di fare proviene da una fonte legittima.

Solo pochi anni fa, la maggior parte dei produttori di automobili utilizzava il sistema bus CAN aperto nelle proprie auto. Ma dopo che i ricercatori hanno dimostrato pubblicamente come potrebbero essere hackerati, le case automobilistiche hanno aggiunto livelli di sicurezza, come mettere le funzioni critiche su reti separate a cui è più difficile accedere dall'esterno.

La divulgazione mette in evidenza i problemi nei settori automobilistico e aeronautico sul fatto che una vulnerabilità del software debba essere trattata come un difetto di sicurezza, con il suo potenziale di costosi richiami del produttore e responsabilità implicite, e quale responsabilità dovrebbero avere i produttori nel garantire che i loro prodotti siano induriti contro tali attacchi. La vulnerabilità evidenzia anche la realtà che sta diventando sempre più difficile separare la sicurezza informatica dalla sicurezza in generale.

"Molte persone dell'aviazione non vedono la sovrapposizione tra la sicurezza delle informazioni, sicurezza informatica, di un aereo, e sicurezza, " ha detto Beau Woods, un borsista per l'innovazione della sicurezza informatica con il Consiglio Atlantico, un think tank di Washington. "Li vedono come cose distinte."

Lo schema di rete CAN bus è stato sviluppato negli anni '80 ed è estremamente popolare per l'uso in barche, droni, navicella spaziale, aerei e automobili, tutte aree in cui c'è più interferenza di rumore ed è vantaggioso avere meno cavi. In realtà è sempre più utilizzato negli aeroplani oggi a causa della facilità e del costo di implementazione, ha detto Kiley.

Dato che gli aeroplani hanno un ciclo di produzione più lungo, "Quello che stiamo cercando di fare è uscire prima di questo."

Il rapporto non nominava i fornitori testati da Rapid7, ma la società li ha avvisati più di un anno fa, afferma il rapporto.

© 2019 The Associated Press. Tutti i diritti riservati.