Historias
Slashboxes
Comentarios
 

Posible vulnerabilidad del nuevo Boeing 787 a un ataque en su red interna

editada por Yonderboy el 10 de Enero 2008, 11:18h   Printer-friendly   Email story
desde el dept. riesgo-en-sistemas-críticos
Ketsuron nos cuenta: «Leo en Wired un artículo en el que se comenta la posibilidad de que los nuevos modelos "Boeing 787 Dreamliner" sean atacados a través de la red de datos accesible a sus pasajeros en vuelo. Según las fuentes de la revista, dicha red, además de proporcionar acceso a internet, resulta estar conectada a la red de control del avión. Según un informe de la FAA (Federal Aviation Administration) existe un riesgo real de que una persona con los conocimientos necesarios sea capaz de acceder a dicha red con resultados catastróficos. En el artículo se comenta que la Boeing ha tomado medidas y afirma que el informe de la FAA puede dar lugar a conclusiones erróneas ya que aseguran que sus sistema no es vulnerable. Sin embargo antes de que la primera unidad del avión sea puesta en el mercado, la FAA y Boeing realizarán una serie de pruebas para demostrar la fiabilidad de los firewalls y protecciones incluidas para separar la red de pasajeros de la de control del avión.» David Lacey analiza el creciente problema de seguridad derivado de la no siempre justificada conexión de sistemas críticos de control (como el control de un avión o los sistemas SCADA) a otras redes.

Historias relacionadas

[+] La seguridad ferroviaria, en entredicho 17 comentarios
molasar nos cuenta: «Después de la reciente noticia sobre la vulnerabilidad frente a intrusiones del sistema de vuelo del último avión de Boeing, nos llega un caso desgraciadamente más real y peligroso: un hacker polaco de solo 14 años consiguió fabricar un dispositivo para alterar el control automático de las intersecciones ferroviarias de su país, llegando a provocar varios descarrilamientos, incluido uno que se saldó con doce personas heridas. Este caso se añade a eventos similares anteriores, como el hacking de los paneles ferroviarios canadienses en 2006. Después de los famosos problemas con el traductor de señalización de las nuevas lineas de alta velocidad de RENFE, podemos preguntarnos: ¿son nuestros trenes seguros frente a estas manipulaciones?»
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Hay que ser idiota

    (Puntos:4, Inspirado)
    por HolaQueTal (34425) el Jueves, 10 Enero de 2008, 11:40h (#1001220)

    Ni cortafuegos ni hostias en vinagre. Hay que ser gilipollas para usar una misma red para los datos (y en una red pública, encima, ni siquiera en uno de esos mal llamados 'entornos de confianza')y para un sistema crítico de control.

    Ni aunque las medidas de seguridad sean perfectas y tengan un cortafuegos imbatible. Es que por mucho que aseguren su software yo nunca confiaría en una red así, sobre todo cuando no hay ninguna necesidad de interconectar ambas redes.

  • En realidad es una "feature"

    (Puntos:4, Divertido)
    por Wayfarer (9955) el Jueves, 10 Enero de 2008, 11:48h (#1001225)
    ( http://www.thewayfarer.info/ | Última bitácora: Lunes, 20 Septiembre de 2010, 15:16h )
    No es un fallo de seguridad: es una funcionalidad que permitiría a cualquier pasajero con un portátil y el Microsoft Flight Simulator pilotar el avión con el touchpad, cómodamente desde su asiento, en el hipotético caso de que el piloto y el copiloto comiesen pescado en mal estado.

    ¿Dónde está Ted Striker cuando se le necesita?

    --

    -- Wayfarer
    La Bitácora del Caminante - www.thewayfarer.info [thewayfarer.info]

    • y más aún: Teletrabajo

      (Puntos:4, Divertido)
      por Debug Mode (37113) el Jueves, 10 Enero de 2008, 13:30h (#1001251)
      Obviamente el objetivo es que los pilotos puedan trabajar cómodamente desde casa. Se conectan al avión por VPN y lo pilotan desde su sofá, en calzoncillos.
      "CNN Hoy: El vuelo 2673 de British Airways con destino Patagonia ha tenido que realizar un aterrizaje de emergencia en la Antártida. Por otro lado, vecinos aseguran haber visto al piloto correr tras su perro, que llevaba en la boca lo que parecía ser un joystick. Más información en la edición de las 14:00."
      [ Padre ]
  • por pelotondefusilamient (33543) el Jueves, 10 Enero de 2008, 11:50h (#1001226)

    [...]existe un riesgo real de que una persona con los conocimientos necesarios[...]

    Independientemente de qué protecciones pongas, si existe alguien que tiene los "conocimientos necesarios" ya puedes darte por jodido, esa persona no necesita más que usar sus conocimientos (que son los necesarios) para putearte todo lo que quiera.

    --
    Se añade al final de los comentarios que publiques. 120 caracteres.
  • ¿Es una patrón general?

    (Puntos:2, Inspirado)
    por garci56 (10365) el Jueves, 10 Enero de 2008, 12:01h (#1001228)
    ( http://firma-tmp.blogspot.com/ | Última bitácora: Martes, 18 Julio de 2006, 16:14h )
    Al hilo de esta noticia me pregunto inquieto, ¿Serán ideas mías o cada vez se hace todo más chapuceramente?.
    O ¿Será que cada vez hay más gente buscándole los fallos a las cosas e invirtiendo en destruir todo el esfuerzo que no dedican a construir?.
    • Re:¿Es una patrón general? de tolito (Puntos:1) Jueves, 10 Enero de 2008, 12:16h
    • Re:¿Es una patrón general? de sammael (Puntos:2) Jueves, 10 Enero de 2008, 12:30h
      • Re:¿Es una patrón general?

        (Puntos:5, Informativo)
        por Ballfire (6514) el Jueves, 10 Enero de 2008, 14:32h (#1001267)
        ( http://barrapunto.com/ | Última bitácora: Martes, 15 Junio de 2010, 16:08h )

        Vamos a ver... antes de decir que algo no tiene sentido no estaría de más que supieras de que estás hablando.

        Entre 95-2000 Boeing estaba diseñando un avión de línea comercial supersónico (El Sonic Cruise) y cuando se acercó a las líneas aéreas estas le dijeron que no les interesaba un avión supersónico, pero a ver qué podían hacer aplicando las tecnologías desarrolladas a un avión subsónico, razón por la cual se empezó a desarrollar el 787.

        El caso es que las compañías pidieron un avión más eficiente, y Boeing, ni corta ni perezosa prometió que el avión pesaría del orden de un 20% menos que un avión equivalente 'convencional' y que sería la cosa más guay desde la invención del botijo; esto es, los de marketing dijeron que el avión llevaría lo más avanzado en entretenimiento a bordo, sería más eficiente y hasta más bonito (siempre nos dicen en clase que ese avión es el primero de la historia que pasó antes por el departamento de marketing que por el de ingeniería)

        Por favor, entended lo que significa un 20% de reducción de peso (bueno, podría ser 10-20%, sólo recuerdo el orden de magnitud). En la industria aeronáutica se pegan por bajar un 0,5% el peso.....

        Esta reducción brutal de peso se consigue introduciendo nuevos materiales y nuevas tecnologías, como por ejemplo la construcción en materiales compuestos (que ya les ha dado más de un quebradero de cabeza)

        Así que necesitan aligerar el avión toooodo lo que puedan (cosa que siempre es una prioridad en el diseño) así que no se debe despreciar la diferencia que representan los mazos de cable.

        Tened en cuenta que en un avión hay KILÓMETROS de cable, y como los sistemas son redudantes pues aún mas...

        Para que os hagáis una idea, tengo por aquí un libro de diseño preliminar de aeronaves (Torembeek): para un jet de transporte de alcance medio se estima que un 11% del peso al despegue del avión se debe a sistemas de a bordo

        Ahora, si puedes asegurar que basta con un sólo bus de datos, ¿por qué usar dos?

        Ahora, la noticia es completamente tendenciosa, porque la FAA lo que ha dicho es que el diseño de red del 787 no es el usual (separación física de ambas redes) y que por tanto, advierte a Boeing que o demuestra que su implementación otorga la misma seguridad que los estándares de diseño presentes o no le certifican el avión. No es que la FAA haya examinado el diseño y haya encontrado un fallo...

        Y de hecho, si leeis la nota de la FAA y la discusión acerca del tema veréis que hay una serie de comentarios de AIRBUS (el rival más directo de Boeing) que en cierta manera defiende la aproximación de Boeing y sólo exige que se defina muy bien el control de acceso.

        Y por cierto, lamento decirte que el B787 ya tiene más de 800 pedidos en firme, así que van a vender, y un montón.

        [ Padre ]
  • misma red, ¿y?

    (Puntos:3, Inspirado)
    por xeper (24762) el Jueves, 10 Enero de 2008, 12:37h (#1001239)
    ( http://olas.info/ | Última bitácora: Martes, 18 Diciembre de 2007, 16:58h )
    A mi me gustaría saber dónde está el problema en que se emplee la misma red.

    ¿Acaso los datos de los equipos de navegación y vuelo no pueden ir cifrados o por VPN? ¿La gente de Boeing es tan tonta de mandar información en texto plano? ¿Usan hubs en vez de switchs? ¿Los pasajeros hacen arp poisoning en vuelos intercontinentales?

    Estamos hablando del desarrollo de un avión, una rama industrial bastante por encima de las posibilidades de Manolo y Benito: si lo han interconectado es por que saben que no hay problema.

    Si se hace bien, no hay necesidad de hacer un "downlink" aparte para que los pasajeros consulten su mail, digo yo.

    En otro nivel, me recuerda a cuando en mi antiguo trabajo puse dos tarjetas de red a un equipo y el supuesto responsable tuvo serios problemas en entender que no estoy construyendo un switch, no estoy interconectando redes y no estoy haciendo que se nos cuelen juankers al servidor de la oficina.
    --
    Dave, this conversation can serve no purpose anymore. Goodbye.
  • por enriquevagu (17606) el Jueves, 10 Enero de 2008, 13:10h (#1001244)
    Realmente, no existe problema de seguridad detectado.

    El problema no viene de haber detectado un problema de seguridad, sino del hecho de que las dos redes compartan algún punto. Según eso, si se encontrara un problema de seguridad, por ejemplo en el firewall que separa las redes, un atacante de ese problema podría acceder a la red de control desde la red de pasajeros.

    Para evitar que ese problema pueda aparecer, lo que reclaman es la separación física de las dos redes, sin ningún tipo de punto común. A mí me parece algo muy razonable (entiendo que debería haberse hecho así desde el principio), pero no como para poner el grito en el cielo.

  • Comorrrr!!!????

    (Puntos:1)
    por jomainbe (30846) el Jueves, 10 Enero de 2008, 15:42h (#1001310)
    ( Última bitácora: Lunes, 19 Enero de 2009, 16:22h )
    No entiendo mucho de aeronautica (nada) pero no logro a entender qué hacen los flaps, el timón, los alerones, etc... conectados a una red TCP/IP, ya sea local o Internet. ¿Qué tienen que ver los mecanismos electronicos y mecánicos con los que funciona un avión con una red informática? A lo mejor algún ingeniero aeronautico nos lo puede explicar y seguimos hablando con conocimiento de causa. Esto me suena como lo del efecto 2000, que hasta el microhondas iba a estallar aunque no llevara ni fecha (¿alguno lo tiene?).
  • por festuc (11326) el Viernes, 11 Enero de 2008, 22:19h (#1001976)
    ( http://www.festuc.info/ | Última bitácora: Jueves, 14 Febrero de 2008, 17:56h )
    a la vista...
    Que susto, creia que el haserfroch vista llevaba herramientas cracker...
    --

    mai güeb paix [festuc.info]
    [ Padre ]
  • 5 respuestas por debajo de tu umbral de lectura actual.