Controle de tráfego vulnerável a hackers

O alerta é de um estudo do departamento de Transportes dos EUA. Nos aeroportos do país os sistemas de controle de tráfego aéreo continuam vulneráveis à ação de hackers em diversos níveis. Assim, uma ação como a do filme “Duro de Matar 2”, quando criminosos alteram a leitura do radar e indicam a uma aeronave em procedimento de pouso uma distância em relação ao solo menor que a real, causando um acidente, pode soar menos ficcional.

Hackers oficiais descobriram nada menos que 763 pontos de vulnerabilidade de alto risco em 70 softwares aplicados em funções importantes, como na distribuição de frequências de rádio para pilotos e controladores ao público. É engraçado ler isso sob esse aspecto, porque conheço aficcionados por aviação que acompanham, pela internet, os diálogos de aproximação e pouso no Santos Dumont. Eu mesmo tinha entre os meus favoritos um site que mostrava, em tempo real, todos os pousos e decolagens no JFK. Detalhe: passando o mouse sobre o alvo na tela, eu sabia o número do vôo, a companhia e o equipamento. Depois de alguns meses, o site não pode mais ser acessado, mas ficou claro que aquilo só estava ali porque alguém emulava um software oficial.

As vulnerabilidades estavam nos bancos da Federal Aviation Administration (FAA), como o Sistema Nacional de Gerenciamento de Tráfego e o Controle de Tráfego Aéreo da torre do aeroporto de Albuquerque, Texas. O pior ataque ocorreu em agosto de 2008, quando computadores da FAA no Alaska foram invadidos. Os hackers exploraram as conexões do sistema, roubaram senhas de administradores e, diz-se, teriam chegado a controlar o tráfego numa área no Oeste do Pacífico, o que a FAA nega. Pela escala adotada, esse é o risco maior. Imaginem se isso acontecesse nos fixos de espera e nas aproximações sobre Nova York, um dos espaços aéreos mais saturados do mundo – graças aos três aeroportos, JFK - na tela esse parecia uma colméia de abelhas – La Guardia e Newark.

Além dos pontos de alto risco, os técnicos encontraram 504 focos de médio risco e 2.590 de vulnerabilidades de baixo risco, como o uso de senhas facilmente decodificáveis e arquivos com dados importantes pouco protegidos. Um ataque desse nível ocorreu em fevereiro desse ano, quando o site usado por funcionários de todos os escalões do governo americano (GovTrip), foi infectado com um malware, um programa para capturar dados pessoais. O site foi tirado do ar e passou um bom tempo desativado.

O relatório fala em sérios riscos às operações. A FAA usa softwares desenvolvidos para uso comercial de forma a distribuir informação na rede, mas os técnicos consideraram que o ambiente não conta com dispositivos suficientemente eficientes. Apenas 11 de centenas de centros de controle de tráfego aéreo em todo o país contam com um detetor virtual, conhecido como IDS.

O assunto é delicado. No ano passado 800 incidentes associados a ataques de hackers foram relatados à FAA no seu braço de controle de tráfego, a Air Traffic Association. Esse grupo é responsável por orientar 50 mil operações de aeronaves por dia sobre o território americano. Dos 800, 150 representaram ataques diretos nos quais os invasores, segundo a ATO, tomaram o controle de algum computador. Um dos arquivos mais visados é o da própria FAA, onde estão históricos administrativos, números de Seguro Social – o que demonstra que quem ataca está atrás do dinheiro dos 48 mil funcionários. Noutros casos, o ataque se dá apenas para desativar equipamentos, como uma demonstração de poder junto a outros hackers.

Combater as vulnerabilidades é parte de um esforço que custará aos EUA US$ 20 bilhões nos próximos 20 anos. Essa montanha de dinheiro indica a prioridade dada à elaboração de uma arquitetura única de segurança no sistema que seja eficaz. Just in case, seria interessante saber o que o Departamento de Controle do Tráfego Aéreo (Decea) tem em projetos similares por aqui.

Fonte: do JB Online :: JBlog Slot