Δευτέρα, 15 Απριλίου 2013

Χάκαρε και εσύ ένα αεροσκάφος, μπορείς!

Μια android εφαρμογή επιτρέπει στον χρήστη να χειριστεί ένα αεροσκάφος όπως εκείνος θέλει… Δεν πρόκειται για σενάριο επιστημονικής φαντασίας αλλά για την εφαρμογή που παρουσίασε ο Hugo Teso στο συνέδριο Hack In The Box στο Άμστερνταμ.

Ας πιάσουμε την ιστορία από την αρχή… Ο Hugo Teso εργάζεται ως σύμβουλος ασφαλείας στη Γερμανία, και ως επαγγελματίας πιλότος εμπορικών αεροσκαφών.
Στο συνέδριο Hack In The Box που πραγματοποιήθηκε στο Άμστερνταμ, παρουσίασε την android εφαρμογή που έχει φτιάξει o ίδιος και επιτρέπει στον χρήστη να χακάρει τα συστήματα ενός αεροσκάφους και να το χειριστεί όπως αυτός θέλει για όποιο σκοπό θέλει… από το smartphone του.
Ας δούμε, ακαδημαϊκα και μόνο (…), τι ακριβώς συμβαίνει και πως.
Η εφαρμογή PlaneSploit μαζί με ένα πλαίσιο παραβίασης, εκμεταλλεύεται κάποια ευρέως γνωστά κενά ασφαλείας στα αεροσκάφη. Το ένα είναι το σύστημα Automatic Dependent Surveillance Broadcast (ADS-B), που συλλέγει πληροφορίες για κάθε αεροσκάφος μέσω ενός δέκτη που βρίσκεται σε αυτό και στέλνει τις πληροφορίες αυτές στους ελεγκτές εναέριας κυκλοφορίας, αλλά και σε παρόμοια αεροσκάφη ώστε να έχουν πιο άμεση πληροφόρηση για τις καιρικές συνθήκες, ή για αεροσκάφη που βρίσκονται στην εναέρια γύρω περιοχή. Το άλλο σύστημα που παραβίασε, είναι το ACARS, ένα σύστημα που χρησιμοποιείται για να ανταλλάσσουν μηνύματα μεταξύ τους οι πιλότοι, αλλά και με τους ελεγκτές, μέσω ασυρμάτου ή δορυφόρου, ενώ ταυτόχρονα μεταδίδει αυτόματα λεπτομέρειες της πτήσης στους ελεγκτές.
Το ADS-B χρησιμοποιήθηκε για την επιλογή των στόχων, ενώ το ACARS για τη συλλογή πληροφοριών από τον υπολογιστή που βρίσκεται στο αεροσκάφος που τίθεται ως στόχος, αλλά και για τον εντοπισμό των επισφαλειών που μπορεί κάποιος να εκμεταλλευτεί. Με αυτά τα δεδομένα, ο Hugo Teso ανέπτυξε το πλαίσιο εκμετάλλευσης των αδυναμιών των δύο συστημάτων και το ονόμασε SIMON. Το SIMON είναι έτσι δομημένο που λειτουργεί σε εικονικό περιβάλλον βέβαια, και χρησιμοποιώντας το μπορεί κάποιος να ανεβάσει σχέδια πτήσης, αναλυτικές οδηγίες και προσωποποιημένα plug in για μία επιτυχημένη… αεροπειρατεία, που όπως όλοι καταλαβαίνουμε περνούν σε άλλο επίπεδο!
Βέβαια ο Hugo Teso δεν αρκέστηκε σ’αυτό κατά την ομιλία του. Δεν δίστασε να παρουσιάσει επίσημα την εφαρμογή του με τίτλο PlaneSploit, ένα εργαλείο πλήρους ελέγχου ενός αεροσκάφους, αλλά και να χειριστεί ένα εμπορικό αεροσκάφος, από το android smartphone του παρουσία των υπόλοιπων συνέδρων.