22 aprile 2013

Se l'hacker sale a bordo: polemiche sulle vulnerabilità dei sistemi di controllo e radiocomunicazione in volo.

L'eventualità di un hacker o di un terrorista che riuscisse a penetrare all'interno dei sistemi di avionica a bordo degli aerei e dei canali di comunicazione che oggi legano il traffico nei cieli al controllo di terra (ATC) è effettivamente inquietante e il sito di Repubblica di oggi fa bene a rilanciare la notizia, apparsa la scorsa settimana, della presentazione - ad Amsterdam, in occasione della conferenza Hack in the box - del lavoro di un esperto di sicurezza tedesco, Hugo Teso, dedicato alle vulnerabilità del sistema di bordo FMS (flight management system) e dei due protocolli, ADS-B e ACARS (Automatic dependent surveillance-broadcast e Aircraft Communications Addressing and Reporting System), da cui dovrebbe partire una radicale riforma del modo di gestire i voli e le comunicazioni terra-aria.
Per una volta il quotidiano non si lancia nella solita tirata catastrofista, lasciando credere che i nostri arei sono tutti preda dei pirati informatici, anche se la cronaca è giocoforza sommaria e può portare a qualche conclusione affrettata. Ma è bene che si discuta della questione per arrivare ai futuri assetti - il SESAR (Single European Sky ATM Research) in Europa e il Next Generation Air Transportation System negli USA, per il controllo, e l'Aeronautical Telecommunication Network come sistema integrato di comunicazioni dati - con tutte le barriere di autenticazione e sicurezza al loro posto.
Nel suo intervento, Teso mette in evidenza i punti deboli del sistema di pianificazione e controllo - FMS - in tempo reale delle rotte di cui sono equipaggiati praticamente tutti gli aerei a partire da una certa dimensione e altitudine. Sul fronte della sorveglianza/posizionamento e delle comunicazioni l'esperto ha invece analizzato il sistema ADS-B (che invia continuamente verso terra e verso altri velivoli i dati relativi alla posizione geografica e alla quota) e il protocollo di comunicazione ACARS,  che affianca le tradizionali comunicazione voce per inviare a terra, sia alla torre di controllo, sia alle compagnie aeree, informazioni ancora più dettagliate su posizione, rotta, carico, richieste varie... Il primo permetterebbe violazioni di tipo passivo (il banale intercettamento dei dati trasmessi a 1090 MHz) e attivo (disturbi, sovrapposizioni, "iniezione" di dati fasulli). Il secondo, a causa dell'assenza di autenticazioni, sussisterebbe secondo Teso la possibilità di ingannare direttamente l'FMS di bordo confezionando opportuni messaggi inseriti attraverso il sistema informatico di raccolta dei cosiddetti Data-link service provider. In teoria sarebbe possibile operare anche in HF, oltre che in VHF in banda areonautica o sulle frequenze SATCOM. Teso spiega di aver utilizzato sistemi SDR (la sua presentazione fa esplicito riferimento alla scheda Ettus Research e al lavoro svolto in ambito da RTL-SDR dall'australiano Balint Seeber) e di aver effettuato test su apparati FMS acquistati su eBay. Nel corso della conferenza è stata eseguita anche una vera e propria dimostrazione attraverso una app Android, abilmente manovrata per dirottare un aereo virtuale su un network di simulatori di volo. In conclusione è stato lo stesso esperto a invocare l'implementazione di robusti sistemi di autenticazione e sicurezza per i futuri sistemi di controllo del volo, sistemi che dovrebbero cominciare a entrare in funzione su ampia scala già a partire dal 2014.
Dopo che Forbes e molti siti di sicurezza informatica (qui l'articolo di Naked Security) hanno rilanciato l'allarme, Tanto la FAA americana che l'EASA, l'agenzia europea per la sicurezza del volo si sono affrettate a rilasciare dichiarazioni in senso opposto, sottolineando che nelle sue demo Teso ha preso di mira sistemi software e hardware diversi da quelli certificati a bordo degli aerei. Un altro esperto, il canadese Brad Haines, è però intervenuto per ricordare di aver raggiunto le stesse identiche conclusioni di Teso già un anno fa. La sua presentazione si può in effetti trovare su Scribd.com e i contenuti sono molto simili, inclusa la parte che riguarda le risorse software defined radio utilizzate per intercettare (e forse manipolare) l'ADS-B. Dopo aver letto della presentazione a Hack in the box, Haines è tornato sulla questione sfidando le autorità a consentire una serie di test dal vivo per dimostrare la reale fattibilità o non fattibilità di un attacco. L'esperto di sicurezza canadese osserva giustamente che non è solo una questione di protocolli violabili, il problema sta anche nei piloti e nei controllori di volo che non vengono semplicemente addestrati a gestire un possibile tentativo di hackeraggio. Haines dice tra l'altro di aver cominciato a studiare seriamente la questione dei droni radiocomandati, ormai all'ordine del giorno. I droni sono già entrati nelle cronache dei possibili "exploit" delle vulnerabilità dopo la misteriosa "cattura" di un drone americano da parte degli iraniani. Lo stesso Teso, che in Germania lavora con la società di sicurezza informatica nRuns, ha pubblicato sul suo blog (dove si trova anche un utile glossario con molti dei termini citati nella presentazione e qui sul mio post), un ulteriore chiarimento scritto, per precisare che le vulnerabilità non riguardano i software dei simulatori di volo, ma i sistemi commerciali montati a bordo dei velivoli di linea e che l'impiego che è stato fatto delle comunicazioni ACARS non era di per sé un "attacco", ma il semplice uso di una risorsa di comunicazione.
Ovviamente non sono un pilota, un controllore di volo o un esperto di sicurezza delle comunicazioni e delle reti, ma posso fare qualche considerazione sulla base della mia conoscenza "sul campo" delle comunicazioni areonautiche, lasciando a esperti più autorevoli (come David Cenciotti di The Aviationist) un ulteriore diritto di approfondimento. L'attuale situazione del sistema ACARS sembra effettivamente essere abbastanza vulnerabile nelle sue definizioni di base, ma esistono produttori come Honeywell che promuovono soluzioni come Secure ACARS, probabilmente dotate di layer di sicurezza aggiuntivi. 


With Secure ACARS - scrive per esempio Honeywell - commercial airlines and aircraft owners realize significant operational benefits, including:
Confidence in the Sender - Authentication provides message recipients with assurance that the message source is as claimed.
Confidence in the Received Data - Message digests offer greater data integrity than CRCs.
Protected Data - Encryption protects airline proprietary and passenger sensitive message content from disclosure to unauthorized entities.

Il discorso di ADS-B è più complesso. Il sistema nasce dalla volontà di modificare l'approccio al monitoraggio del volo basato su una tecnologia radar che integra una componente primaria e una secondaria a sua volta strutturata in più "gradazioni". Il radar primario rileva un oggetto in volo sul cui guscio esterno rimbalza il segnale radio a microonde inviato dall'antenna del radar stesso. In uno spazio commerciale e militare così affollato, è stato introdotto anche un sistema di identificazione secondaria che prevede l'attivazione di un trasmettitore installato anche a bordo dell'aereo. Questo transponder, o ATCRBS (air traffic control radar beacon system), riceve un segnale di "interrogazione" da un Secondary Surveillance Radar installato a terra (in genere l'antenna SSR è direttamente integrata sull'antenna primaria, più altre antenne che inviano segnali di riferimento) che opera oggi sulla frequenza di 1030 MHz. Considerando che un segnale di interrogazione può determinare la risposta da parte di uno o più velivoli nello stesso settore di cielo, l'SSR è stato man mano reso più preciso grazie all'adozione del sistema Mode-S che abilita una sorta di chiamata selettiva rendendo più sicura l'identificazione degli aerei. Mode-S utilizza per questo una serie di segnali di riferimento che aiutano il radar di terra a discriminare meglio gli echi di ritorno ma anche un codice di identificazione, concettualmente molto simile all'indirizzo fisico MAC di un dispositivo connesso a una rete IP, o a un IMEI della rete cellulare. Abbinata al Mode-S c'è per esempio la rilevazione GPS della posizione dell'aereo. 
ADS-B compie un passo in più rispetto al Mode-S rovesciando il punto di vista della sorveglianza del volo: teoricamente nel Next Generation Air Transportation System non è più l'abbinamento radar primario/radar secondario a rilevare una posizione, ma lo stesso aereo ad "annunciare" - alla torre di controllo come a tutti gli altri velivoli vicini - la sua presenza in un dato punto, con evidenti finalità anti-collisione e di gestione del traffico. Per certi versi questo cambiamento - pensato per rendere molto più flessibile la scelta degli itinerari di volo, che non dovranno più coincidere con "routes" (corridoi) e "flight levels" predefiniti - rende indispensabile la necessità di un robusto meccanismo di autenticazione. Per la verità, come si è visto il problema non è per niente nuovo. Ben prima di Teso e Haines ci sono stati casi in cui la sicurezza di ADS-B veniva messa in questione. E ci sono anche diverse proposte sul piatto, incluso un brevetto abbastanza recente  (2010) della NASA (nr. US 7730307 B2). In attesa che gli enti regolatori prendano le loro decisioni, sarebbe il caso di fare molta chiarezza nei confronti dell'opinione pubblica. Le stesse compagnie aeree dovrebbero promuovere una maggiore conoscenza dei meccanismi che si nascondo dietro un sistema tanto complicato. L'avionica e gli apparati di comunicazione non sono meno meritevoli dei motori e delle parti meccaniche di ogni possibile misura cautelativa. Non è facile informare su queste cose in modo equilibrato e privo di allarmismi assolutamente deleteri sull'economia del trasporto aereo, ma la piena e realistica consapevolezza dei rischi è un primo, importantissimo passo.



Nessun commento: