Na semana passada, o especialista de segurança norte-americano Chris Roberts chamou a atenção da comunidade internacional e colocou uma pulga atrás da orelha de milhares de passageiros de avião após o vazamento de depoimentos que deu à polícia federal dos Estados Unidos (FBI), entre fevereiro e abril deste ano.

Nos depoimentos, Roberts afirmou que teria hackeado sistemas de 15 a 20 voos entre 2011 e 2014, usando apenas seu próprio laptop conectado ao sistema de entretenimento de bordo (IFE) dos aviões. Segundo ele, a conexão com o IFE teria sido suficiente para assumir o controle de uma das turbinas do avião em uma das ocasiões, fazendo a aeronave mudar de rota durante o voo e deslizar lateralmente no ar.

As supostas façanhas de Chris Roberts não são desconhecidas no mundo da aviação. No mês passado o especialista foi expulso de um voo da United Airlines após escrever em sua conta no Twitter que seria capaz de hackear o sistema daquele voo e ativar as máscaras de oxigênio dentro da cabine durante a viagem.

Fundador da empresa de consultoria de segurança One World Labs, Roberts não foi indiciado em nenhuma das vezes, mas isso não impediu o especialista de ter criado insegurança com as notícias de que aviões comercias poderiam estar em risco potencial de serem hackeados por alguém dentro do voo. O barulho foi ainda maior, já que Roberts cita aeronaves de duas das maiores fabricantes do mundo como alvos de seus ataques nos últimos anos: as da norte-americana Boeing e da francesa Airbus.

Roberts teve dois laptops e alguns pen drives e HD externos confiscados pelo FBI, mas até agora nenhum dos seus supostos ataques foi confirmado.  O resultado disso é que, apesar de ter feito barulho com as declarações, especialistas de segurança ainda veem com algum ceticismo as supostas ações de Roberts.

“São duas redes completamente segregadas, isoladas e protegidas por meios de segurança como firewall e controle de acesso”, afirmou ao Canaltech o especialista e consultor de segurança da informação da Arcon, Felipe Prado. “Ele pode ter entrado no sistema de entretenimento, mas dalí sair para dentro do controle da aeronave, não. Acho que ainda existem coisas que ele não esclareceu”.

O especialista explica que mesmo que os sistemas aparentem estar conectados, já que a tripulação e o piloto conseguem interromper o conteúdo sendo reproduzido na tela para fazer comunicados aos passageiros, não há pontos de comunicação entre os dois sistemas que permitissem ao passageiro enviar comandos para o sistema de voo. “Você pode ter um sistema de voz integrado, mas um sistema de conexão de TI e redes integrado, não”, esclarece.

Além disso, Prado explica que ambos os ambientes estão protegidos por ferramentas como firewall e controladores de acesso, que bloqueiam qualquer tipo de acesso não autorizado. Na pior das hipóteses, caso a invasão realmente tivesse acontecido, Prado lembra: bastaria que o piloto desligasse o piloto automático e reassumisse o controle manual do avião para resolver o problema.

O que dizem as fabricantes

Mesmo sem a confirmação de que as vulnerabilidades realmente existem, entramos em contato com as duas fabricantes citadas por Chris para questioná-las sobre a arquitetura dos sistemas de voo e de entretenimento dentro de suas aeronaves.

Em meio à final do campeonato Fly Your Ideas, que acontece nesta semana em Hamburgo, o diretor de comunicação da Airbus na Alemanha, Florian Seidel, comentou o caso e confirmou ao Canaltech que os sistemas das aeronaves da empresa são completamente independentes.

“Nossas aeronaves são desenhadas para que haja uma divisão clara entre o que acontece na cabine e o que acontece com os controles de voo”, disse, acrescentando que acredita que o ataque “não é possível”. “Na nossa perspectiva, nós precisamos de ter mais informações sobre o que ele fez e sobre o que seria capaz de fazer, mas nós levamos isso muito a sério”.

Por comunicado, a Boeing também afirmou que tem “confiança completa” nas medidas de segurança de suas aeronaves, mas não detalhou como funcionam os sistemas de bordo de suas aeronaves.

“Múltiplas camadas de proteção, incluindo software, hardware e arquiteturas de rede são desenhadas para garantir a segurança de todos os sistemas de voo contra intrusões”, disse a companhia. “Apesar de não detalharmos nossas medidas de ciberdefesa por razões de segurança, acreditamos que, com base no design do avião, esta intrusão simplesmente não poderia ter ocorrido”.

Com informações de Canaltech.