Este pesquisador de segurança realmente hackeou um avião em pleno voo?
O pesquisador de segurança Chris Roberts se tornou mundialmente conhecido este ano quando foi expulso de um avião após um tweet polêmico: ele disse que poderia interferir no sistema de máscaras de oxigênio.
Desta vez, um documento oficial do FBI afirma que ele já invadiu sistemas de entretenimento de bordo em aviões, e uma vez até emitiu um comando que fez o avião momentaneamente se inclinar para o lado. Isso é mesmo verdade?
Roberts disse ao FBI que, primeiro, obtém acesso físico à rede do avião encaixando um cabo embaixo do assento, onde há um conector Ethernet modificado. Depois, ele usa login e senha padrão para obter acesso ao sistema de entretenimento de bordo – que exibe filmes e séries para os passageiros.
Até aí, nada impossível. Roberts diz à Wired que fez isso umas 15 vezes entre 2011 e 2014. Mas o documento do FBI alega que Roberts não parou por aí, e uma vez conseguiu invadir o sistema principal do avião:
Ele afirmou que comandou com sucesso o sistema a emitir o comando “CLB”, ou subir. Ele afirmou que, dessa forma, um dos motores de avião passou a subir, resultando em um movimento do avião para os lados.
Ele também afirmou que usou software Vortex após hackear redes do avião. Ele usou o software para monitorar o tráfego do sistema na cabine do piloto.
É importante lembrar que o FBI não confirma que isso tenha acontecido: eles apenas registraram o depoimento de Roberts. Nesse disse-me-disse, até mesmo Roberts acredita que foi mal interpretado: “há um conjunto de 5 anos de trabalho que o documento [do FBI] comprime incorretamente em um parágrafo”.
Is this the SEB they are accusing you of prying open @Sidragon1? Looks pretty accessible to me :) #757 pic.twitter.com/9p5w5NCmxV
— OMG ΉΆXOR (@SynAckPwn) May 17, 2015
Afinal, é possível comandar um avião após invadir o sistema de entretenimento de bordo? A Boeing, que faz três dos quatro jatos que Roberts alega ter invadido, nega:
Sistemas de entretenimento a bordo em aviões comerciais são isolados dos sistemas de voo e de navegação. Embora estes sistemas recebam dados de posição e tenham links de comunicação, o design os isola dos outros sistemas em aviões que executam funções críticas e essenciais.
Mas isso é a palavra de uma empresa de aviação. E os especialistas em segurança, o que dizem? Basicamente a mesma coisa: é meio difícil de acreditar que alguém consiga invadir sistemas críticos de um avião dessa forma.
Alan Woodward, da Surrey University, lembra à BBC que “sistemas de voo costumam ser mantidos fisicamente separados, assim como qualquer sistema crítico de segurança”. Por isso, ele acha “difícil de acreditar” que um passageiro possa controlar o avião usando uma porta Ethernet no assento.
O especialista em segurança Graham Cluley acredita que “Roberts pode ter acessado os sistemas do avião e de dados sem permissão, mas talvez nunca enviou ao sistema qualquer comando para interferir com a aeronave” – pois seria possível ver o sistema funcionando, mas não interferir nele.
O especialista em aviação Michael Planey também duvida. Ele explica ao site especializado Runway Girl Network:
… quanto ao que ele diz sobre interferir no sistema de voo do avião, isso teria sido observado pela tripulação do voo; eles teriam percebido que a aeronave não estava se movendo por um comando vindo da cabine do piloto. Haveria muitas maneiras no monitoramento do motor e nos sistemas de controle de voo para detectar este tipo de evento, e eu esperaria que os pilotos fizessem uma observação e que fosse aberta uma investigação. Então, eu não acredito que o que ele diz é verdade.
Funcionários do governo americano dizem ao USA Today que “não há informação crível para sugerir que o controle do voo em um avião possa ser acessado ou manipulado a partir do sistema de entretenimento”. No entanto, tentar interferir nesses sistemas é ilegal.
Planey diz ao RGN que “a intenção é irrelevante quando se trata de hacking antiético. Se você está intencionalmente tentando comprometer as operações de voo, você é culpado de um crime e você está pondo em risco a vida de muitas pessoas”.
Afinal, por mais que provavelmente seja impossível controlar um avião dessa forma, talvez seja possível prejudicar o voo. O consultor de aviação Steve Ganyard diz à ABC News que “alguém pode inserir dados errados para enganar a tripulação, dizendo que estão em um lugar quando estão realmente em outro”.
Desde aquele tweet polêmico de Roberts em abril, autoridades nos EUA recomendam às empresas aéreas que fiquem de olho em tentativas de invadir o Wi-Fi no voo ou o sistema de entretenimento.
Roberts não foi acusado de cometer qualquer crime, e ainda está sendo investigado. [Wired]
Primeira imagem por Fox News