El laburo de informar conlleva una responsabilidad. Y te lo digo no atajándome, sino contándote por qué contar esto. Difundir una vulnerabilidad es muy distinto a dar la dirección postal y poner la foto de la casa de un testigo protegido, así como también es distinto a mostrar la cara de alguien que está acusado de un crimen sin que se haya probado que se cometió. ¿Por qué? Porque basta con que nuestro rostro aparezca en un medio masivo con algún rótulo (ej: «Acusado de violar a su hija») para que, movidos por el rechazo al delito del que se acusa a alguien, manifestemos nuestro odio en contra del acusado, sin notar que está acusado, que no se ha comprobado que así sea, que delito y culpable son cosas distintas.
Seis palabras en un medio masivo, bastan para condenar sin juicio a una persona
Esas 6 palabras en un medio masivo, suelen condenar a esta persona de por vida -porque el tipo vuelve a su barrio y sigue habiendo estado acusado- aunque durante el juicio se compruebe su inocencia. Luego los autores del titular, publican que «lo liberaron», pero no dicen que se comprobó su inocencia en el titular, sólo que le dieron libertad.
La diferencia aquí, es que, más allá de los escraches, publicar una vulnerabilidad es obligar a resolverla.
Lo que sigue es contarte que podés tirar abajo un avión desde tu celular, no te voy a decir cómo, pero te voy a contar que se puede.
Saliendo del ejemplo, pero siguiendo también con él, te cuento que un hacker llamado Hugo Teso, creó una app para Android que permitiría redirigir el tráfico aéreo y con esto demostró las vulnerabilidades del sistema de control aeroportuario.
Esto prueba algo muy importante también: un atentado como el del 11 de Septiembre de 2001 en EEUU, hoy no necesitaría que nadie se sacrifique ni utilice armas. Sólo unos clicks con el dedo en una hermosa pantalla deslizante. ¡Más talibanes y menos muertes!
Durante una conferencia de ciberseguridad Hugo Teso demostró cómo cualquier persona con conocimientos generales y las herramientas necesarias podría secuestrar un avión desde una localización remota.
|
Esto se debe a la misma naturaleza de los sistemas que utilizan las aerolíneas y es muy simple: los mensajes que intercambian los aviones con las estaciones de control se realizan SIN ningún tipo de cifrado a través de satélites o radio.
Por lo que utilizando un sistema de administración aérea -que compró en eBay- y un transmisor de radio, Hugo accedió al sistema de mensajería de las aerolíneas y desde ahí a los sistemas que controlan el piloto automático de los aviones, lo que le dio la posibilidad de mandar el avión a donde quiera.
Soy un aficionado a la aeronáutica, aunque no soy alguien con conocimientos que puedan considerarse profundos, pero estoy en contacto con muchos pilotos y una ENORME cantidad de ellos me han comentado que los vuelos de los grandes aviones están mayormente navegados a través de la navegación automática. Suena muy bien, pero confiar en las máquinas de forma tan ciega no es gratis.
Dejar de pensar por nosotros mismos significa pensar que quien desarrolló un determinado software es perfecto y no habrá cometido ningún error.
Dejar de pensar por nosotros mismos significa pensar que quien desarrolló un determinado software es perfecto y no habrá cometido ningún error. Bueno, si sos de esos, viene Hugo y te manda el avión a Groenlandia. Hay que sumar que muchos aviones ya no cuentan con instrumentos de vuelo manual, por lo que si Hugo quiere, podés terminar por allá. Pero la culpa no es de Hugo. La responsabilidad es de quien tiene una brecha de seguridad tan estúpida como es no cifrar los mensajes con los que se rige la nave.
Hugo Teso además creó un app de Android llamada Plane Sploit con la que redirigir aviones virtuales, pero que es perfectamente utilizable para aviones reales. La aplicación no sólo le permite cambiar el curso del avión, sino que también generar distintos ataques a los pasajeros como disparar las máscaras de oxigeno generando el terror correspondiente a tal situación en pleno vuelo.
Este hacker hizo estas demostraciones en un determinado contexto Hack in de Box, una conferencia de seguridad en Amsterdam, donde participó como expositor y utilizó su Samsung Galaxy para demostrar sus afirmaciones.
Por desgracia no podés bajarte la aplicación. Pero si te ponés a investigar, vas a poder mandarle un avión a quien quieras.
Aquí tenés las diapositivas de la charla
Te dejo también el blog de Hugo Teso