Bastano uno smartphone o una chiavetta Usb per dirottare un aereo. Parola di Sally Leivesley, ex Home Office Scientific Adviser britannico, interpellata dal Sunday Express sulla sparizione del Boeing 777 della Malaysia Airlines avvenuta oramai più di dieci giorni fa. Dopo le tante opzioni vagliate, il cyber-dirottamento dunque. Possibile?
Un anno fa la presentazione shock
Forse molti esperti del settore sono rimasti scottati dalla dimostrazione shock fatta da Hugo Teso, presentata lo scorso anno durante la conferenza “Hack In The Box” di Amsterdam. L’ethical hacker e ricercatore di sicurezza di origini spagnole stupì la platea prendendo il controllo di un aereo virtuale, e cambiando la traiettoria e la velocità dello stesso, semplicemente cliccando su una mappa visualizzata sul suo smartphone e facendo oscillare il telefono, il tutto tramite l’app PlaneSploit. Lo sgomento iniziale venne placato dalle rassicurazioni fatte dallo stesso Teso riguardo al fatto che i sistemi di simulazione non hanno le stesse protezioni incluse in un software di volo certificato per l’utilizzo su un aeromobile.
Portare a buon fine il dirottamento da remoto può teoricamente sembrare semplice, come spiegò il ricercatore: interferire nelle comunicazioni tra l’aereo vittima del dirottamento e le basi a terra è sufficiente per alterare il piano di volo. Attacco quindi mirato alle vulnerabilità presenti nell’Automatic Dependent Surveillance-Broadcast (Ads-B) e soprattutto nell’Aircraft Communications Addressing and Reporting System (Acars), il protocollo che invia messaggi ai diversi soggetti tramite segnali radio poi convertiti in testo.
Interpellata da Repubblica, la Easa (European Aviation Safety Agency) dichiarò tramite il Communications Officer dell’agenzia Jeremie Teahan di essere a conoscenza delle vulnerabilità, non ritenendole però critiche.
Insomma, una presentazione, quella di Teso, certamente d’impatto, ma che lasciò parecchi dubbi sull’effettiva applicabilità della sua ‘teoria’ ad aeromobili veri e propri.
Affascinante, spaventoso…poco credibile
Dopo aver passato un anno nel dimenticatoio, il cyber-dirottamento è tornato in voga ‘grazie’ al tragico evento dell’8 marzo che ha fatto scomparire nel nulla 239 persone a bordo del volo MH370.
Alla base dell’ipotesi esternata dalla Leivesley un hack rivolto ai principali strumenti informatici dell’aereo in questione, attuato tramite i sistemi di intrattenimento di bordo accessibili ai passeggeri.
Proviamo per un momento a considerare plausibile l’opzione. Il pilota ed il co-pilota che ruolo hanno avuto in tutto ciò? Interrogativo da porsi, dato che è sempre possibile escludere il sistema di controllo automatico dell’aereo utilizzando i comandi manuali. Pare a dir poco strano che Zaharie e Fariq Hamid abbiano permesso al proprio mezzo di entrare in una rilassante ‘modalità taxi’, lasciando che l’aeromobile percorresse una rotta non prevista.
Inoltre il piano deve essere stato studiato nei minimi dettagli, e da un esperto d’aviazione oltre che informatico: scomparire dai radar civili nel ‘punto perfetto’, la zona di confine tra lo spazio aereo malese e vietnamita, in cui avviene il passaggio di consegne tra le torri di controllo; disattivare uno dopo l’altro trasponder e sistema satellitare Acars; riprogrammare la rotta con tutte le valutazioni su carburante residuo, studio delle performances, inviluppo di volo, ecc.; rimanere in volo per altre sei ore e quaranta minuti, durante le quali – probabilmente per sottrarsi ai radar – l’aereo ha fatto registrare in sequenza impennate salendo sopra i 45mila piedi (per rendere l’idea, 13700 metri) e discese a 23mila piedi (settemila metri) sotto l’altezza di crociera. Ricordiamoci che non stiamo parlando di una macchinina telecomandata, ma di un mezzo con apertura alare di 61 metri e un peso a vuoto di 134800 kg (dati riferiti al Boeing 777-200). Fare manovre brusche non è semplice dalla cabina, figuriamoci da remoto.
Tirando le somme, l’idea di avere a che fare con il primo cyber-dirottamento della storia è sicuramente affascinante dal punto di vista prettamente tecnologico, sconvolgente e tragico dal punto di vista della sicurezza, poco credibile realisticamente parlando. Ma in conclusione, un ultimo spunto rivolto ad una particolare coincidenza: Teso fece la sua presentazione all’Hack In The Box dello scorso anno, come detto; pensare che il primo appuntamento di questo evento si svolse circa dieci anni fa proprio in Malesia potrebbe far rabbrividire.
