El laburo de informar conlleva una responsabilidad. Y te lo digo no atajándome, sino contándote por qué contar esto. Difundir una vulnerabilidad es muy distinto a dar la dirección postal y poner la foto de la casa de una testigo protegida, así como también es distinto a mostrar la cara de alguien que está acusada de un crimen sin que se haya probado que se cometió. ¿Por qué? Porque basta con que nuestro rostro aparezca en un medio masivo con algún rótulo (ej: «Acusada de violar a su hija») para que, movidas por el rechazo al delito del que se acusa a alguien, manifestemos nuestro odio en contra de la acusada, sin notar que está acusada, que no se ha comprobado que así sea, que delito y culpable son cosas distintas.
Seis palabras en un medio masivo, bastan para condenar sin juicio a una persona.
Esas 6 palabras en un medio masivo, suelen condenar a esta persona de por vida -porque la mina vuelve a su barrio y sigue habiendo estado acusada- aunque durante el juicio se compruebe su inocencia. Luego las autoras del titular, publican que «la liberaron», pero no dicen que se comprobó su inocencia en el titular, sólo que le dieron libertad.
La diferencia aquí, es que, más allá de los escraches, publicar una vulnerabilidad es obligar a resolverla.
Lo que sigue es contarte que podés tirar abajo un avión desde tu celular, no te voy a decir cómo, pero te voy a contar que se puede.
[youtube width=»602″ height=»350″ video_id=»wk1jIKQvMx8″]
Saliendo del ejemplo, aunque no tanto, te cuento que una hacker llamada Hugo Teso, creó una app para Android que permitiría redirigir el tráfico aéreo y con esto demostró las vulnerabilidades del sistema de control aeroportuario.
Esto prueba algo muy importante también: un atentado como el del 11 de Septiembre de 2001 en EEUU, hoy no necesitaría que nadie se sacrifique ni utilice armas. Sólo unos clicks con el dedo en una hermosa pantalla deslizante. ¡Alegría en la casa de la familia Kamikaze!
Durante una conferencia de ciberseguridad Hugo Teso demostró cómo cualquier persona con conocimientos generales y las herramientas necesarias podría secuestrar un avión desde una localización remota.
Esto se debe a la misma naturaleza de los sistemas que utilizan las aerolíneas y es muy simple: los mensajes que intercambian los aviones con las estaciones de control se realizan SIN ningún tipo de cifrado a través de satélites o radio.
Por lo que utilizando un sistema de administración aérea -que compró en eBay- y un transmisor de radio, Hugo accedió al sistema de mensajería de las aerolíneas y desde ahí a los sistemas que controlan el piloto automático de los aviones, lo que le dio la posibilidad de mandar el avión a donde quiera.
Soy una aficionada a la aeronáutica, aunque no soy alguien con conocimientos que puedan considerarse muy serios porque son sólo teóricos, pero estoy en contacto con muchas pilotos y una ENORME cantidad de ellas me han comentado que los vuelos de los grandes aviones están mayormente navegados a través de la navegación automática. Suena muy bien, pero confiar en las máquinas de forma tan ciega no es gratis.
Dejar de pensar por nosotras mismas significa pensar que quien desarrolló un determinado software es perfecto y no habrá cometido ningún error. Bueno, si sos de esas, viene Hugo y te manda el avión a Groenlandia. Hay que sumar que muchos aviones ya no cuentan con instrumentos de vuelo manual, por lo que si Hugo quiere, podés terminar por allá. Pero la culpa no es de Hugo. La responsabilidad es de quien tiene una brecha de seguridad tan estúpida como es no cifrar los mensajes con los que se dirige la nave.
Hugo Teso además creó un app de Android llamada Plane Sploit con la que redirigir aviones virtuales, pero que es perfectamente utilizable para aviones reales. La aplicación no sólo le permite cambiar el curso del avión, sino que también generar distintos ataques a las pasajeras como disparar las máscaras de oxigeno generando el terror correspondiente a tal situación en pleno vuelo.
Esta hacker hizo estas demostraciones en Hack in de Box una conferencia de seguridad en Amsterdam, donde participó como expositora y utilizó su Samsung Galaxy para demostrar sus afirmaciones.
Por desgracia no podés bajarte la aplicación. Pero si te ponés a investigar, vas a poder mandarle un avión a quien quieras.
Aquí tenés las diapositivas de la charla.
Te dejo también el blog de Hugo Teso.