L'attacco informatico agli aerei commerciali è solo una questione di tempo, hanno avvertito il Department of Homeland Security e altre agenzie governative statunitensi. La maggior parte degli aerei passeggeri non dispone di protezioni di sicurezza informatica per prevenire un tale attacco.
I documenti interni del DHS, ottenuti tramite una richiesta del Freedom of Information Act, descrivono in dettaglio le vulnerabilità degli aerei commerciali e le valutazioni dei rischi. Alcuni documenti sono ancora "trattenuti in virtù dell'esenzione" del FOIA.
Il comunicato include una presentazione di gennaio del Pacific Northwest National Laboratory (PNNL), parte del Dipartimento dell'Energia, che delinea gli sforzi del gruppo per hackerare un aereo tramite il suo servizio Wi-Fi come test di sicurezza.
Il test di hacking doveva essere effettuato senza alcun aiuto interno, da una posizione di accesso pubblico (ad esempio, un sedile passeggeri o il terminal dell'aeroporto) e senza l'utilizzo di hardware che avrebbe attivato la sicurezza aeroportuale. Secondo la presentazione, l'hack ha permesso ai ricercatori di "stabilire una presenza utilizzabile e non autorizzata su uno o più sistemi di bordo".
Un altro documento, del 2017, afferma che i test indicano che "esistono vettori di attacco praticabili che potrebbero influire sulle operazioni di volo". Una presentazione del DHS inclusa nei documenti dice che "la maggior parte degli aerei commerciali attualmente in uso ha poche o nessuna protezione informatica". Indica il fatto che anche un attacco informatico di successo percepito potrebbe avere un "enorme impatto sull'industria aeronautica globale".
LEGGI DI PIÙ: L'esperto di sicurezza avrebbe detto all'FBI di aver hackerato e guidato un aereo di linea durante il volo
I documenti del DHS Science and Technology Directorate avvertono che le attuali politiche e pratiche non sono adeguate per affrontare "l'immediatezza e le conseguenze devastanti che potrebbero derivare da un catastrofico attacco informatico su un aereo commerciale aviotrasportato".
La minaccia degli hack delle compagnie aeree è qualcosa che è noto da tempo. Nel 2015, l'FBI ha avvertito il personale di prestare attenzione a comportamenti insoliti dopo che l'esperto di sicurezza informatica Chris Roberts ha affermato di aver avuto accesso ai sistemi di controllo degli aerei per connettersi alla console di intrattenimento in volo fino a 20 volte.
A novembre, il funzionario del DHS Robert Hickey ha affermato che l'agenzia ha hackerato con successo l'avionica di un Boeing 757 commerciale nel 2016. Ha anche affermato che i rappresentanti di American Airlines e Delta Airlines sono rimasti scioccati nell'apprendere che il governo era a conoscenza del rischio di tali attacchi per così tanto tempo e non si era preso la briga di farglielo sapere.
Tuttavia, un portavoce della Boeing ha dichiarato al Daily Beast di aver assistito al test e "può dire in modo inequivocabile che non c'è stato alcun attacco ai sistemi di controllo del volo dell'aereo".
Nel 2014, l'esperto di sicurezza Ruben Santamarta ha avvertito che gli hacker potevano accedere alle apparecchiature di comunicazione satellitare di un aereo tramite Wi-Fi e sistemi di intrattenimento in volo, dopo che lui stesso aveva escogitato un modo per farlo. Santamarta ha affermato che i sistemi vulnerabili non sono stati utilizzati solo negli aeroplani, ma anche in "navi, veicoli militari e strutture industriali come piattaforme petrolifere, gasdotti e turbine eoliche".
Alla conferenza Black Hat del 2018, Santamarta dimostrerà come sia possibile hackerare un aereo da terra, accedere alla rete Wi-Fi e raggiungere la comunicazione satellitare dell'aereo, che potrebbe essere utilizzata come arma come strumento di radiofrequenza (RF).
“Questi sono casi reali. Non sono più scenari teorici ", ha detto a Dark Reading. "Stiamo usando [vulnerabilità] nei dispositivi satcom per trasformare questi dispositivi in armi".
