Chris Roberts es un conocido hacker estadounidense que confesó haber tomado el control de un vuelo comercial para probar que podía hacerse. En el pasado, el consultor de seguridad y piloto comercial Hugo Teso ha creado una aplicación para Android que permite hachear el sistema de control de aviones, pudiendo tomar el control de un avión de pasajeros.
CIUDAD DE BUENOS AIRES (Urgente24) - Un conocido hacker de USA dijo al FBI que logró tomar el control momentáneo de los motores de un avión en pleno vuelo hackeando su sistema de entretenimiento a bordo, según un documento presentado en un tribunal federal estadounidense y obtenido por APTN National News.
Chris Roberts, que ha sido entrevistado al menos tres veces por el FBI este año, está siendo investigado por presunta piratería en los sistemas de entretenimiento electrónico de los aviones, de acuerdo con la solicitud de una orden de registro para probar equipos electrónicos incautados propiedad del hacker.
El documento muestra que los agentes FBI que investigan a Roberts creen que tiene la capacidad de hacer lo que él dice: hacerse cargo de los sistemas de control de vuelo por hackeo de la computadora que gestiona el entretenimiento a bordo (video, música, etc.)
Roberts aún no ha sido acusado de ningún delito. Los alegatos contenidos en la solicitud de allanamiento no han sido demostrados en los tribunales.
El hacker es fundador de One World Labs, y es ampliamente conocido como un experto en seguridad cibernética.
Los agentes del FBI obtuvieron la orden de allanamiento el 17 de abril para investigar una serie de artículos electrónicos incautados a Roberts después de aterrizar en Siracusa, Nueva York, procedente de Chicago el pasado 15 de abril. Roberts había publicado un tuit en broma ese mismo día tras haber tomado un vuelo de United Airlines entre Denver y Chicago. El tuit daba indicios de que el hacker habría actuado sobre los sistemas de entretenimiento del avión y las máscaras de oxígeno.
Durante dos entrevistas con el FBI en febrero y marzo de este año, Roberts dijo haber hackeado al menos 20 veces los sistemas de entretenimiento de aviones Boeing y Airbus en pleno vuelo, todos accesos realizados entre los años 2011 y 2014.
En uno de los hackeos, Roberts dijo a los agentes federales que accedió a la computadora de gestión de empuje del avión y momentáneamente tomó el control de un motor, de acuerdo con una declaración jurada adjunta a la solicitud de la orden de allanamiento.
El agente del FBI Mike Hurley confirmó que Roberts admitió haber controlado uno de los motores de un avión, algo que produjo un movimiento lateral de la aeronave.
Roberts también dijo a los agentes que hackeó redes de avión y pudo "para monitorear el tráfico del sistema de cabina".
Aparentemente, según consta en la declaración antes el las autoridades, los accesos fueron posibles a través del sistema de entretenimiento a bordo, empleando su notebook y un cable Ethernet.
Tras una investigación en la aeronave supuestamente controlada por Roberts, se encontró evidencias de manipulación de los puertos de acceso al sistema de entretenimiento ubicados debajo del asiento A2, considerando que el asiento A3 es el que ocupó el hacker. Esta es información que también consta en el acta judicial.
Según los federales, la caja de acceso debajo del asiento A2 estaba “dañada” con su tapa“aproximadamente abierta” en 1.25 centímetros y presentando la falta de uno de los tornillos.
Los elementos secuestrados pertenecientes a Robertos son: un iPad, una MacBook Pro, tres discos externos, seis pendrives y dos cables USB. Todo este material fue incautado en función del “interés en la seguridad pública, ya que este equipamiento probablemente permita tomar el control de los sistemas de un avión”, según consta en las declaraciones del FBI.
El ahora mundialmente famoso hacker, experto en seguridad informática, dijo a las autoridades que encontró varias vulnerabilidades en los sistemas de entretenimiento de los aviones Boeing 737-800, 737-900, 757-200 y Airbus A-320s.
Tras el incidente con Roberts, las Administración Federal de Aviación de los Estados Unidos lanzó una alerta para que la tripulación esté alerta por posibles hackeos a los sistemas de las aeronaves utilizando las mismas técnicas que Roberts.
Hackear con Android
El consultor de seguridad y piloto comercial Hugo Teso ha creado una aplicación para Android que permite hachear el sistema de control de aviones, pudiendo tomar el control de un avión de pasajeros.
Teso se presentó la aplicación en el 'Hack In The Box Conference', celebrado en Amsterdam para sacar los colores al estado de la seguridad de la aviación, los sistemas informáticos y los protocolos de comunicación. La aplicación, llamada PlaneSploit, una vez interceptada la comunicación.
La aplicación, llamada PlaneSploit, una vez interceptada la comunicación, hace uso de otro sistema de comunicación con el que enviar mensajes malintencionados con los que se podría tomar el control total del avión o afectar indirectamente al piloto.
Las tecnologías que usa la aplicación se aprovechan del sistema Automatic Dependent Surveillance-Broadcast (ADS-B), que envía información acerca de cada aeronave (identificación, posición actual, altitud, etc) a través de un transmisor de a bordo, a los controladores de tránsito aéreo, y permite a las aeronaves equipadas con la tecnología para recibir información de vuelo, controlar el tráfico y el clima sobre otros aviones que estén en ese momento volando en sus alrededores.
La otra parte sobre la que ejercen el hackeo es Aircraft Communications Addressing and Reporting System (ACARS), que se utiliza para el intercambio de mensajes por radio o por satélite entre los aviones y los controladores de tráfico aéreo, así como para proporcionar automáticamente la información sobre cada fase de vuelo.
Estas dos tecnologías son muy inseguras y susceptibles a una serie de ataques pasivos y activos. Hugo Teso hace un mal uso de la ADS-B para seleccionar objetivos y de los ACARS para recopilar información sobre el ordenador de a bordo, así como para explotar sus vulnerabilidades mediante la entrega de falsos mensajes maliciosos que afectan a la "conducta" del avión.
