¿Hay algún informe de accidente que mencione la aviónica pirateada/comprometida como un factor?

¿Alguien sabe de algún ejemplo documentado de accidentes aéreos causados ​​por aviónica pirateada o deliberadamente comprometida?

Puede ser más instructivo preguntar también "¿Qué medidas preventivas existen para mitigar la aviónica pirateada o comprometida", ya que muchas de las respuestas incluyen "No hay incidentes obvios, y no esperaría ninguno debido a XYZ".

Respuestas (2)

Buscar en la base de datos de accidentes de la NTSB, que también cubre algunos vuelos comerciales internacionales, las palabras clave "piratear", "piratear" no proporciona ningún resultado relacionado con la aviónica pirateada. Del mismo modo, el uso de la palabra clave "manipulado" no proporciona ningún resultado relacionado con la manipulación deliberada de la aviónica (en su mayoría restos "manipulados").

Hay un individuo, Chris Roberts , que afirma haber pirateado el Sistema de entretenimiento a bordo (IFE) para hacer que la aeronave se desvíe de su curso, sin embargo, lo encuentro muy sospechoso. Desde una perspectiva de seguridad, no puedo encontrar ninguna buena razón para tener la red IFE en la misma red que cualquier aviónica , sin embargo, eso no quiere decir que no haya alguna conexión posible. El FBI ciertamente no pensó que fuera muy divertido .

Por lo tanto, hasta el día de hoy no ha habido ningún accidente de aviación que se atribuya a la aviónica pirateada o manipulada deliberadamente como causa de dicho accidente. Lo más parecido que creo que encontrarás es pilotos cargando planes de vuelo incorrectos, datos de navegación desactualizados (o incluso anteriores a la fecha) y otros casos de pilotos que no usan correctamente el equipo.

Leí su pregunta original y me gustaría aclararla. Las teorías de conspiración, las conjeturas y la especulación en Internet no reemplazan las pruebas contundentes. En el caso del MH-17, se recuperaron los restos y no se han presentado pruebas a favor de la piratería, mientras que hay muchas pruebas del derribo. Los aviones de pasajeros, incluso en altitud de crucero, pueden ser derribados por misiles tierra-aire con bastante facilidad.

En cuanto al MH-370, hasta que se encuentren los restos, es posible que nunca lo sepamos (e incluso si lo es, es posible que nunca lo sepamos). Las cajas negras no tienen una vida útil indefinida, especialmente si están bajo el agua. Hasta entonces, las teorías de que ese vuelo fue pirateado son tan creíbles como las que dicen que los extraterrestres secuestraron todo el vuelo y están viviendo en Neptuno en iglúes especialmente construidos.

"No puedo pensar en ninguna buena razón para tener la red IFE en la misma red que cualquier aviónica". Desafortunadamente, hay malas razones para tener la red IFE en la misma red que la aviónica (no es que sepa que se ha hecho, solo digo. Por ejemplo, no puedo pensar en ninguna buena razón por la que el sistema de entretenimiento de un automóvil esté en la misma red que el controlador del motor/sistema de frenos, pero sabemos que ya está hecho).
El IFE necesita al menos leer los datos del vuelo, ya que los está mostrando. Por lo tanto, depende del puente aislarlo de otra manera y puede haber un error en él. @davidbak, en automóvil, el sistema de "entretenimiento" también es un sistema de configuración para muchas cosas, por lo que necesita conexión al bus principal y debe ser bidireccional en ese caso. En el caso de IFE, el flujo de datos al menos puede restringirse a un solo sentido.
Creo que la reacción del FBI fue estúpida. Deberían haber tenido el avión en cuestión durante un par de horas y pedirle que lo demostrara durante la prueba. Si tuvo éxito, entonces solo planteó una preocupación válida, por lo que se debe agradecer y la FAA debe hacer cumplir la reparación. Solo si fallaba, entonces sería correcto acusarlo de propagar el pánico.
@JanHudec: en el caso del automóvil, el sistema de navegación/entrenamiento no tiene que estar en el autobús, donde puede leer/escribir en cualquier dispositivo. Podría haber una conexión punto a punto a un controlador especializado que aísla (filtra) el sistema de navegación/entradas de los sistemas de control del vehículo. Y lo mismo para el sistema IFE también: podría haber un flujo de solo salida (separado de cualquier bus/red, y solo de salida basado en la electrónica con la que está construido) desde la red de vuelo a la red IFE (para todo lo que sé, así es como se hace).
@davidbak, bueno, el único sistema de navegación/entrada de automóvil con el que tengo un poco de experiencia estaba compuesto por dos unidades, una que ejecutaba la interfaz de usuario y la navegación y la otra ejecutaba el back-end (que incluía la radio allí). IIRC solo el back-end estaba conectado a CAN, las dos placas tenían Ethernet entre ellas. Así que fue un poco como dices. Aún así, CAN es un bus de dos vías, por lo que si la placa de back-end se ve comprometida, se puede acceder a los controladores. Sin embargo, ARINC 429 es unidireccional (uno a muchos), lo que debería hacer que sea más difícil de romper.
El problema no es tener cosas conectadas o no (lo están), sino cómo se aplica la seguridad usando credenciales. En la nueva era de la virtualización, las LAN virtuales están físicamente conectadas, pero lógicamente segmentadas . ¿Sabía que su CPU Intel puede acceder a una red e intercambiar datos cuando la computadora portátil está apagada?
@mins Cierto, sin embargo, considere las implicaciones de conectar equipos accesibles en cabina a la aviónica en lugar de agregar un GPS para seguir la ruta de vuelo, todavía no puedo imaginar una buena razón para que estén conectados físicamente, incluso si están segregados.
@JanHudec No siento lo mismo por la reacción del FBI. Si no puede reproducirse, es una amenaza (intenta correr por el aeropuerto gritando "bomba" una vez, incluso si no tienes una). Si puede, entonces está comprometiendo la seguridad de los demás (¿y si bloquea a los pilotos de alguna manera y se estrellan?). El hecho de que pueda hacer algo pero nunca tuvo la intención de causar daño no significa que no sea ilegal. Si quería demostrar esto, debería haberlo informado al FBI antes de intentar hacerlo en un vuelo activo, o 15 como dijo .
Como mencionó @JanHudec, cuando se utilizan buses seriales industriales (CAN, SDI, ...), los fabricantes no están realmente preocupados por conectar todo al mismo cable y, a menudo, los conceptos de seguridad modernos aún no se han extendido dentro del departamento de ingeniería. Creo que los fabricantes de aviónica están más preocupados, pero no estoy seguro de cuánto más. El botón de llamada FA está conectado al sistema FA, conectado al panel de audio, conectado al VOR, conectado al GPS, conectado al ACARS, etc.
"No se me ocurren buenas razones para conectarlo a la red de pasajeros" no es lo mismo que "No hay buenas razones", que a su vez no es lo mismo que "No está conectado a la red de pasajeros". Creo que estás escribiendo desde una posición de ignorancia aquí. Por ejemplo, a pesar del comentario de @davidbak, hay buenas razones por las que el sistema de entretenimiento de los automóviles está conectado al sistema de control del motor: cuando conduce más rápido, el volumen del estéreo de su automóvil aumenta automáticamente. Puede que no consideres ese buen juicio, pero esa conexión existe en los automóviles.
De manera similar, para los aviones, entiendo que en algunos aviones modernos, las dos redes están conectadas. Se supone que las conexiones tienen cortafuegos y una segmentación lógica que, con suerte, es adecuada para prevenir riesgos, pero es difícil decir con certeza que este sea el caso, basándose únicamente en la información pública; simplemente no parece haber suficiente información disponible públicamente. para decir con seguridad. No soy un experto en esto y no puedo hacer declaraciones autorizadas al respecto... pero parece que tú tampoco lo eres. Sugeriría eliminar esa parte del comentario en su respuesta.
@DW En realidad, si ese (aumento del volumen de audio) fuera una razón utilizada para justificar poner el sistema de entretenimiento en el mismo bus que el controlador del motor, lo llamaría una mala razón. (No me oponía a las conexiones , solo estaba en la misma red (o bus ). Puede lograr un diseño más seguro si el controlador del motor transmite, a través de algún mecanismo de solo transmisión, la telemetría deseada).
@davidbak, está bien. Como ya escribí, puede que no lo consideres de buen juicio... pero como dije, están conectados. El hecho de que piense que no hay una buena razón para conectarlos no implica que, de hecho, estén desconectados.
@DW Dije que no puedo pensar en una buena razón para que sea así, no es que no esté conectado. No estaba tratando de dar a entender que los sistemas no están conectados, solo que no es una buena idea tener un sistema, especialmente con puertos accesibles en la cabina de pasajeros, conectado a controles de vuelo críticos.
Lo sé. Lo que dije es que sospecho que estás escribiendo desde una posición de ignorancia. (Espero que no lo tomes como algo personal). Creo que el hecho de que no puedas pensar en una buena razón no es realmente relevante aquí para la pregunta que realmente importa: ¿están realmente conectados? Una declaración de que no puede pensar en una buena razón para que estén conectados inevitablemente corre el riesgo de dar la impresión de que tiene la intención de que los lectores deduzcan que probablemente no están conectados. Creo que su respuesta mejoraría eliminando esa declaración. De todos modos, he hecho mi caso; a partir de aquí depende de usted.
@DW Parte de mi trabajo es garantizar la seguridad de los sistemas de control, sistemas que tendrían graves consecuencias si se vieran comprometidos. He escrito artículos sobre seguridad industrial y cómo proteger los sistemas de control contra la penetración y los ataques internos, por lo que no escribo exactamente desde una posición de ignorancia. Diseñar sistemas de control interconectados es lo que he estado haciendo durante los últimos 15 años o más.
No desconocimiento sobre la seguridad informática en general o en los sistemas industriales en particular... sino más bien, desconocimiento sobre la cuestión muy concreta de si las redes de aviónica están o no conectadas a las redes de entretenimiento de los pasajeros en cualquier avión de pasajeros en servicio actual. Consulte también mis comentarios sobre la otra respuesta para ver algunos enlaces que podrían indicar por qué estoy planteando este punto. (También diré que he votado a favor de su respuesta y la encuentro útil. Solo estoy sugiriendo un punto menor en el que creo que podría mejorarse).
Un ejemplo de lo que es habitual en la industria: " En una red de aeronaves, habrá muchos sistemas conectados en red. Estarán sincronizando su tiempo con GPS. Será costoso implementar receptores GPS en cada sistema de la red. Entonces , en un avión, el sistema principalmente central obtendrá su tiempo del GPS. Otros sistemas conectados al sistema central tendrán que sincronizar su tiempo con el sistema central ". ( fuente ). Primera razón "buena": ¡ costo ! No estoy diciendo que esto se hará, solo quería ilustrar la mentalidad.

No. Por lo que sé, la aviónica actual de navegación y control de vuelo está separada de los componentes conectados a Internet, por lo que 'hackearlos' es físicamente imposible.

Ahora, más tipos de aviónica de cabina se están volviendo compatibles con Bluetooth, lo que permite la interconectividad con dispositivos móviles o aplicaciones conectados a Internet, por ejemplo, Garmin Pilot, ForeFlight, etc., lo que permite a una persona descargar un plan de vuelo en un cabezal GNSS, por ejemplo. Tal vez algún hacker en algún momento analice una falla de seguridad dentro de esta aviónica y pueda explotar esto.

Además, estos sistemas a menudo aceptan actualizaciones de software en forma de tarjetas SD, memorias USB, etc., por lo que también existe la posibilidad de introducir malware en el sistema de esa manera.

Pero incluso si un cabezal de GPS fuera atacado de esa manera, no tendría forma de obtener acceso a los sistemas de control del aire acondicionado, el sistema podría apagarse manualmente y usarse medios de navegación de respaldo.

Pero en la era de Stuxnet y los incipientes desarrollos de armamento cibernético paralelos al desarrollo de Internet de las cosas, todo puede ser posible en el futuro; simplemente no ahora.

"Por lo que sé, la aviónica de control de vuelo y navegación actual está separada de los componentes conectados a Internet, por lo que 'hackearlos' es físicamente imposible". La piratería no requiere Internet, solo acceso físico. Además, Stuxnet es específico para los sistemas de control PLC de Siemens (soy ingeniero de control) que realmente no tiene un paralelo en la aviónica...
"Por lo que sé, la aviónica actual de navegación y control de vuelo está separada de los componentes conectados a Internet" : esto no parece ser exacto. Véase, por ejemplo, wired.com/2015/04/hackers-commandeer-new-planes-passenger-wi-fi , que establece que en algunos jets modernos, la aviónica de control de vuelo está en la misma red que los sistemas de entretenimiento para pasajeros. Supuestamente hay cortafuegos, y si esos cortafuegos están libres de errores, esto podría ser adecuado para prevenir los riesgos... pero eso es diferente a decir que son redes separadas, o que la piratería es "físicamente imposible".
Consulte también schneier.com/blog/archives/2008/01/hacking_the_boe.html y dailytech.com/… . Mi conjetura/especulación es que muchos de los artículos de prensa probablemente exageran enormemente el riesgo... pero al mismo tiempo, el riesgo no se puede descartar por completo, y las afirmaciones de que la piratería es "físicamente imposible" son irresponsables y no se puede justificar en base a la evidencia disponible públicamente.
Ese artículo de Wired y el blog de Schneider equivalen a ladridos de carnaval. Habiendo trabajado en este tipo de aeronaves, sistemas de cabina, controles de vuelo e IFE, puedo decirles que no existe una conexión sólida entre la aviónica crítica, como las computadoras de control de vuelo, las computadoras de datos aéreos, las radios, los cabezales de navegación, los AFCS, los aceleradores automáticos, etc., y redes WiFi basadas en satélite. No, a partir de hoy es prácticamente imposible que una persona que trabaja de forma remota comande una aeronave pirateando una red IFE.
¿Hay algún informe de accidente que mencione la aviónica pirateada/comprometida como un factor?
RespuestasAquíPolítica de privacidad1y, 0v