Embora não haja indícios concretos de que isso tenha acontecido, a ideia não é maluca como pode parecer à primeira vista. Estudos apontam que o ataque a um computador de bordo é possível sob certas condições. Até a Agência Federal de Aviação (FAA) americana expressou preocupação com isso. O assunto é tratado num documento publicado em novembro no Federal Register, o diário oficial dos Estados Unidos. Nesse texto, a FAA detalha exigências especiais de segurança para algumas variantes do Boeing 777-200, o mesmo modelo de avião que desapareceu no voo da Malaysia Airlines. O texto diz que a Boeing havia feito modificações no avião, instalando uma rede de dados que conecta os sistemas eletrônicos a bordo.
Equipamentos que antes funcionavam isolados um do outro, como o sistema de entretenimento e o computador de voo, passariam a ser conectados em rede. Por isso, a FAA estabeleceu que, para renovar a certificação de segurança do avião, a fabricante teria de demonstrar que não seria possível invadir os sistemas de dentro do avião; e que o nível de segurança dele não seria afetado pelas modificações. Há quase um ano, durante a conferência Hack in the Box, em Amsterdã, o especialista Hugo Teso demonstrou um método para invadir, de longe, o computador de bordo de um avião usando um smartphone com Android.
Teso é piloto de aviões e também consultor de segurança da empresa alemã N.Runs. Em sua demonstração, ele usou, além do smartphone, um transmissor de rádio e outros equipamentos que ele havia comprado no site de comércio eletrônico eBay. Usou também um programa de invasão desenvolvido por ele, o PlaneSploit.
O método de Teso (para quem se interessar, há uma apresentação dele com detalhes técnicos) não requer acesso físico ao avião. O ataque é feito à distância, via rádio. Ele disse ter identificado uma brecha de segurança que afeta computadores de bordo usados em muitos aviões. Segundo ele, a falha permitiria, a alguém mal intencionado, invadir o equipamento e assumir o comando do avião. O hacker poderia alterar o curso da aeronave e fazê-la pousar ou chocar-se contra algum obstáculo. Teso não testou seu método com um computador de bordo real.
Como não tinha esse equipamento, ele emulou seu comportamento por software num PC. Ainda assim, a palestra deixou algumas pessoas alarmadas. Em resposta, a FAA distribuiu uma declaração tranquilizadora à imprensa, dizendo que havia equívocos no trabalho do hacker. O texto assinado por Les Dorr, porta-voz da FAA, foi reproduzido por noticiários americanos (como o Daily Caller).
Ele dizia: “A técnica descrita não pode afetar ou controlar o piloto automático do avião por meio do computador de bordo; nem impedir o piloto humano de assumir o comando no lugar do piloto automático”, disse Dorr. “Logo, um hacker não pode obter ‘controle total da aeronave’ como o consultor de tecnologia afirma”, concluiu ele. A European Aviation Safety Administration, (EASA) reforçou a mensagem da FAA, afirmando que os aviões e instrumentos de voo certificados são seguros. Fabricantes de instrumentos aeronáuticos, como a Honeywell, também negaram que houvesse uma falha perigosa nesses equipamentos.
Depois disso, o assunto ficou mais ou menos esquecido, até que o sumiço do Boeing 777 da Malaysia Airlines o ressuscitou. Carl Herberger, que foi oficial de guerra eletrônica a bordo de um bombardeiro B52 da Força Aérea americana, afirma, num artigo, que o atual processo de certificação de aviões não leva em conta o risco de ataque por meios digitais. Herberger lembra que, anos atrás, ataques cibernéticos danificaram até as centrífugas iranianas usadas para enriquecer urânio, equipamentos considerados de alta segurança (na época, o ataque foi atribuído a agentes dos Estados Unidos e de Israel).
Um ataque ao computador de bordo de um avião é, ao menos na teoria, possível. “Temos de testar e proteger esses sistemas. Já passou da hora de exigir esse processo dos fabricantes de equipamentos de transportes para assegurar a segurança do público”, diz ele. Será que um ataque de hackers derrubou o Boeing 777 da Malaysia Airlines? Hugo Teso (que usa o pseudônimo Commander Cat em seu blog) acredita que não. Herberger também não diz que houve um ciberataque. Só alerta para o risco de isso acontecer algum dia.
0 Comentários