Estamos en manos de incompetentes

Imagen de squirrel
Enviado por squirrel en

Foros: 

Por squirrel

Como si no fuese suficiente con la que está cayendo con los malwares para hacer la guerra, descubrimos que el sistema operativo RuggedOS, propiedad de Siemens y usado en equipamiento tanto de SCADA como de redes, debería tener más bien como nombre GruyèreOS: No sólo tienen una puerta trasera con contraseña fija, si no que además incluyen una clave SSL fija en su firmware, de modo que toda la protección del protocolo HTTPS se va al cuerno.

Y por si la camisa todavía os llega al cuerpo, otra más: Ante la revelación de que el nuevo protocolo de comunicaciones usado para control aéreo (ADS-B) es vulnerable (literalmente, los mensajes van en texto claro y sin autenticar), la única respuesta que se le ocurre a la FAA (organización que regula el tráfico aéreo en EEUU) es que "¡Sus sistemas están certificados!".

No me extraña que digan que la ignorancia es la felicidad. Que el FSM nos pille confesados...

Mi profe de automatismos creo

Mi profe de automatismos creo que tenía un altar en su casa con el logo de Siemens rodeado de velas y le rezaba el 'FSM nuestro' en alemán todas las noches. Menudo chasco! ;-)

"La efectividad del sistema no debe depender de que su diseño permanezca en secreto" Kerckhoffs
"Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios" Torvalds

RuggedOS y Siemens están hasta donde no te lo esperas. Buf!

Todavía puede tenerlo

RuggedOS era antes propiedad de RuggedCom, una empresa canadiense que absorbió Siemens. Tampoco es que sea el SO de todos sus dispositivos, aunque visto lo que se ha ido viendo con todo el tema de Stuxnet tampoco creo que su sistema propio sea para echar las campanas al vuelo.

Creo que el problema es que todos estos sistemas, cuando se diseñan, no se hace para ser seguros, si no que se plantea como un añadido y eso, como muy bien explica Bruce Schneier, hace imposible hacer un sistema seguro.

y que problema hay con el ADS-B?

lo digo en serio, el tema me interesa de sobre manera porque mi trabajo depende de la implementacion de este protocolo, pero es solo un protocolo de transmision de posicion, no se aceptan "mensajes" u ordenes que pueda alterar algo el avion....

donde le veis el problema?

Modo terrorista on

Dado que los mensajes van sin autenticar y sin cifrar, unas cuantas ideas:

  • Puedes hacer "aparecer" aviones en posiciones concretas para forzar a mover otros aviones para evitar colisiones (y llevarlos a donde quieres).
  • Puedes hacer el sistema inusable mediante un DoS, recibiendo las posiciones de aviones y enviando posiciones alternativas para esos mismos aviones.
  • Puedes enmascarar por potencia las emisiones de un avión concreto y sustituirlas con las tuyas, haciendo creer a todos los demás que el avión está en un lugar distinto a donde realmente está.

Modo terrorista off.

Ahora imagínate que haces cualquiera de esas cosas, el sistema (o sus operadores) reacciona de buena fe frente a unos datos que considera correctos e indica a un avión que realice una corrección que lo lleva a colisionar con otro avión, o a pasar demasiado cerca de las turbulencias de otro avión, perder sustentación e irse al suelo. Probablemente, si no fuera porque está muerto, Osama estaría teniendo sueños húmedos con este sistema y sus posibilidades. Eso por no hablar de unos cuantos jefes de servicios de inteligencia y acciones tácticas. Que se trate de un sistema moderno en cuyo diseño se debería haber incorporado todo el conocimiento adquirido en estos años sobre las vulnerabilidades de los sistemas de comunicación es lo que lo hace aún más sangrante: Quien olvida la historia está condenado a repetirla.

la resistencia del protocolo

sin animo de trollear...

o hacer aparecer aviones en posiciones concretas mediante ADS-B no vale de nada, el TCAS se dara cuenta que la posicion ADS-B reportada no corresponde con el timing de ida/vuelta de sus señales una vez que hay rumbo de colision, descartaria el blanco

o pues al final la estacion base recibiria dos aviones en distintas posiciones con la misma "matricula" codigo, generarias densidad de trafico (se pierde pasta) pero no tendria impactos.

o enmascarar por potencias es complicado sobre todo cuando las transmisiones son aleatorias en el tiempo, y trasmitir a mas de 50 km de manera continua mas de 500 W... es energia... mucha... (imposibilidad tecnica, a medio plazo)

creo que este caso es uno en los que la criptografia no serviria para nada, y quiza compicaria innecesariamente las comunicaciones, si usas un esquema de clave compartida, tendrias que distribuirla a todas las aerolineas, y aviones particulares, y todo el mundo deberia compartirla, al final se acabaria filtrando

si usas un esquema de clave publica-privada idem de lo anterior, y añades tiempo de transacciones, (latencia) no podrias suplantar un avion, pero si crearlos de la nada, ya que el acceso a tus claves validas se deberia poder conseguir de manera barata...

en este caso es mas util/seguro confiar en las propiedas fisicas del medio que en la criptografia para ello, es dificil suplantar por medios fisicos que tengas un avion a 10.000 metros de altura a 2 km este de tu posicion, y que este suplantado desde tierra.. la criptografia no es la bala magica para todo, y esto es un caso que lo demuestra

un saludo

PD: os llevo leyendo años (mas de 10) y son mis primeros comentarios en todo este tiempo, mis felicitaciones a todos por esta maravillosa pagina web que por cosas del destino se acabo convirtiendo en un blog (era asi?) :)

En absoluto

No considero en absoluto que sea ánimo de trollear. Por partes:

Si el TCAS recibe mensajes falsos que considera auténticos y por tanto los acepta, incluso aunque luego existan otras comprobaciones, entramos en el terreno del fallo software y concretamente de algo similar al Fuzzing: ¿Qué hará el sistema al recibir esos mensajes?¿Existe algún tipo de mensaje en el que el resultado sea indefinido?¿Posibilidad de explotación de fallos en el tratamiento de mensajes (buffer overflow, stack smashing, etc)? La respuesta evidente ("depende de la implementación de cada fabricante") coincidirás conmigo en que no es la más tranquilizadora, aunque no tenga por qué llevarnos necesariamente al peor caso.

Enmascarar por potencias es más sencillo de lo que imaginas, porque el objetivo no es enmascarar en todas direcciones: Una antena direccional bien colocada y entonces necesitas poca potencia para cubrir las señales que te interesen. Es equivalente a los inhibidores de móvil, que no requieren una gran potencia a pesar de operar contra torres de potencia considerable porque su radio de acción es limitado.

En este caso, como con las redes WIFI, el medio juega en tu contra, porque el enemigo ya tiene acceso a él. Cualquier ataque posible a la comunicación WIFI sin protección (jamming, sniffing, MITM, reenvío de paquetes...) es aplicable aquí, e igual que con la WIFI desprotegida dependes de cada aplicación para proporcionar protección e integridad de datos, en este caso dependes de los sistemas que trabajan por encima para lo mismo. Con que uno solo de esos sistemas sea vulnerable ya estás en la picota.

Antiguo :-D

Antiguo :-D

Además, ¿a quién vas a creer, a un radarcillo de tres al cuarto o a un sistema de comunicaciones y posicionamiento ultramoderno y certificado?. Desde luego, estos subversivos, siempre intentando usar la lógica...

Ahora en serio, no todos los aviones llevan radar incorporado, sobre todo cuando se habla de aviones de tamaño reducido o modelos tirando a antiguos. Y eso sin tener en cuenta situaciones en las que el radar se desactiva, sea voluntariamente (por ejemplo al volar en zonas "calientes" o en modo stealth) o por algún problema.

opinar

Más información sobre los formatos de texto

Texto puro

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.
Cifrando tus datos...