El DEF CON de Boeing debuta en un signo de los tiempos



A raíz del estancamiento entre el fabricante del avión y un investigador de seguridad sobre los vulns encontrados en la red de su avión 787, Boeing dice que está listo para «abrazar» a la comunidad de hackers.

No hubo simulador de vuelo para volar un avión de combate F-35 de la Fuerza Aérea de los EE. UU., No hubo placas de circuito del sistema de management de aeronaves para jugar en Aerospace Village de este año en DEF CON, que se desarrolló como un evento en línea debido a la pandemia COVID-19. Pero a diferencia del evento en persona en Las Vegas en 2019, cuando los principales fabricantes de aviones Airbus y Boeing no participaron, este año Boeing se unió al Village y señaló que está listo para involucrarse más de cerca con la comunidad de hackers.

El año pasado, el primer Village con temática de aviación en DEF CON se inauguró en medio de una acalorada disputa entre Boeing e IOActive sobre los hallazgos del investigador Ruben Santamarta sobre vulnerabilidades de seguridad en la red a bordo de un avión Boeing 787. Santamarta de IOActive, quien había presentado su investigación en Black Hat United states of america en Las Vegas solo unos días antes de que comenzara DEF CON, sostuvo que un atacante que explotara las fallas podría obtener acceso de forma remota a la red de aviónica sensible de la aeronave, también conocida como información de la tripulación. red de sistemas.

Santamarta, quien en 2018 compartió una investigación en Black Hat United states of america sobre cómo pudo piratear las redes Wi-Fi de los aviones en vuelo y los equipos de comunicaciones por satélite desde tierra, en su investigación más reciente descubrió que una pieza de firmware en un componente de red central de la red del 787 contenía un menú de vulnerabilidades, incluido el desbordamiento del búfer, la corrupción de la memoria, los desbordamientos de pila y las fallas de denegación de servicio que, según dijo, un atacante podría explotar de forma remota para finalmente llegar al módulo de crimson de los sistemas de información de la tripulación.

Boeing, basándose en sus propias pruebas internas de los hallazgos de Santamarta, argumentó que las vulnerabilidades no podrían explotarse para afectar un sistema crítico en el avión ni podrían abusarse de ellas de forma remota para piratear el sistema de aviónica. «Después de trabajar con IOActive para comprender su investigación, Boeing y sus socios probaron sus hallazgos en entornos integrados, tanto en laboratorios como en un avión. Nuestras extensas pruebas confirmaron que las defensas existentes en la red 787 más amplia evitan los escenarios reclamados», dijo el portavoz de la compañía. en el momento.

Otra declaración de Boeing se calentó: «IOActive optó por ignorar nuestros resultados verificados y limitaciones en su investigación, y en su lugar hizo declaraciones provocativas como si tuvieran acceso y analizaran el sistema de trabajo. Si bien apreciamos el compromiso responsable de los investigadores independientes de ciberseguridad, nosotros» «Estamos decepcionados con la presentación irresponsable de IOActive», dijo la compañía en ese momento.

IOActive, mientras tanto, apoyó la investigación de Santamarta, y señaló que la compañía había estado trabajando con Boeing antes de la presentación de Black Hat y que Boeing había «caracterizado erróneamente» los hallazgos de Santamarta. Santamarta, quien realizó su investigación en un laboratorio, de hecho tuvo cuidado de notar en sus hallazgos y en su presentación que el efecto remaining en el sistema de aviónica real no estaba claro sin que él tuviera acceso a un avión 787 authentic. Pero dijo que un atacante que explotara el firmware podría evitar los controles de seguridad en la pink y llegar a la purple de aviónica. Lo que el atacante podría hacer desde allí no estaba claro, según Santamarta.

Un año después, Boeing e IOActive siguen estancados en la investigación, sin que ninguno de los dos se mueva en sus conclusiones. Aun así, en DEF CON Boeing brindó información sobre su pensamiento y las lecciones aprendidas de la disputa, y ahora también puede haber un lado positivo para la ciberseguridad de la aviación: Boeing dice que está lista para «abrazar» a la comunidad de investigadores de seguridad.

John Craig, ingeniero jefe de purple de cabina y seguridad de Boeing, considera que la experiencia del año pasado con IOActive fue un punto de inflexión para Boeing. El enfrentamiento público entre Boeing e IOActive llevó al proveedor aeroespacial a reforzar su proceso de divulgación de vulnerabilidades y a crear un llamado consejo tecnológico que incluye investigadores de seguridad externos invitados que Boeing planea llevar a sus laboratorios internos después de la pandemia para hacerse con las manos. -en la experiencia con los equipos y sistemas de redes de aviones de Boeing.

«Hemos doblado una esquina. Nos hemos dado cuenta de que realmente necesitamos abrazar a estos investigadores de seguridad porque tienen una perspectiva realmente valiosa sobre nuestra industria que probablemente no vemos todo el tiempo», dijo Craig a Dim Reading en una entrevista la semana pasada.

Boeing incluso había planeado organizar un concurso de captura de la bandera con parte de su components en DEF CON hasta que el espectáculo físico se moviera en línea, según Craig. El ejecutivo de Boeing fue parte de un panel sobre la conexión del ecosistema de la aviación, junto con funcionarios de Aviation-ISAC, la Administración Federal de Aviación, el Departamento de Defensa y el Departamento de Seguridad Nacional de EE. UU. Boeing también se desempeñó como patrocinador de Village, y un ingeniero de productos de Boeing también hizo una presentación sobre el ciclo de vida de desarrollo seguro de un avión.

Craig dice que él y algunos colegas de Boeing visitaron el Aviation Village 2019 en DEF CON, y se fueron gratamente sorprendidos. «De hecho, fue una experiencia muy positiva», dice. «No fue nefasto», dice sobre las actividades de DEF CON Village. «La gente fue realmente positiva y quiso marcar la diferencia. Nos encantó el evento».

Misma historia, capítulo diferente
La desconfianza inicial de Boeing hacia la comunidad de piratas informáticos, marcada por su disputa con IOActive, recuerda una larga tradición de brecha cultural entre industrias e investigadores de seguridad que se remonta a principios de la década de 2000 con Microsoft enfrentándose a investigadores que encuentran vulns en Windows. Desde entonces, las industrias automotriz, de dispositivos médicos, Internet de las cosas y sistemas de handle industrial (ICS) han atravesado una curva de aprendizaje a menudo dolorosa después de malinterpretar el trabajo que hacen los investigadores de seguridad cuando eliminan los agujeros en sus productos.

La aviación ha priorizado durante mucho tiempo la seguridad por razones obvias. Pero ya no es posible ni útil ignorar u ocultar el papel de la ciberseguridad en la seguridad de las aerolíneas a medida que aviones como el 787 se conectan más en pink, dicen los expertos.

Pete Cooper, líder de Aerospace Village y miembro senior del Atlantic Council, dice que el proceso de comprender y luego trabajar junto a los piratas informáticos éticos es un viaje para muchas organizaciones. «Mucha gente se pone realmente nerviosa por el tema … y es muy protectora» y no quiere abordar la seguridad de sus productos industriales, dice. «Pero tenemos que discutirlo absolutamente: ahí es donde encontramos la manera de avanzar».

Es una calle de doble sentido: los investigadores a menudo dudan en acercarse a los proveedores por razones legales o de otro tipo. «También hace que los investigadores se sientan más cómodos al conectarse con estos tipos, y podemos hacer esa (conexión) desde el lado de la Aviación-ISAC», dice Randy Talley, asesor principal de la Agencia de Seguridad de Infraestructura de Ciberseguridad del Departamento de Seguridad Nacional. Señala la participación de patrocinio de Boeing en el Aerospace Village este año como un gran paso allí.

Boeing también participó en febrero en la Villa Aeroespacial mucho más pequeña de la Conferencia RSA, que fue su primera aparición de seguridad de este tipo y una «prueba» para DEF CON, según Craig.

Para Santamarta, el papel de alto perfil de Boeing en DEF CON y su recién descubierta relación con la comunidad de hackers fracasa después de su desagradable experiencia con Boeing en el proceso de divulgación y su presentación. «Me han dicho que mi investigación desencadenó muchas iniciativas en torno a la ciberseguridad en el sector de la aviación, incluso en términos regulatorios. Eso es bueno», dice Santamarta. «Lo que encuentro triste es que nadie se atreva a hacer referencia pública la investigaciónen sí mismo, añade.

Craig dice que Boeing no discute problemas en el código que descubrió Santamarta. Boeing probó los hallazgos durante meses en sus laboratorios, dice, más dos días de prueba de los sistemas en un avión 787 genuine. «Realmente no reaccionaron como él predijo que lo harían», dice sobre la investigación de Santamarta.

Pero no dio más detalles sobre los detalles técnicos. «Hay muchas cosas en las que realmente no quiero entrar aquí. Ahí es donde terminamos».

Alan Burke, subdirector adjunto de Operaciones Ciberespaciales de la Fuerza Aérea y Comunicaciones de Warfighter, dice que Boeing informó a los funcionarios sobre su investigación y análisis internos de la investigación de Santamarta. «Nos marchamos impresionados con el rigor que presentó Boeing para abordar el reclamo del investigador y ponerlo en práctica», dice Burke, quien participó en el panel sobre el ecosistema de la aviación en DEF CON.

Santamarta señala que aunque IOActive solicitó información sobre la versión authentic del firmware que Boeing utilizó en sus pruebas, Boeing nunca se la proporcionó a la empresa, dice.

«El enfoque se ha trasladado a las relaciones públicas, pero con respecto a la investigación genuine, hay un manto de silencio que lo cubre todo», dice Santamarta. «Yo diría que la única razón por la que no disputan públicamente los problemas con el código es porque todos en (Black Hat) podían ver el código en las diapositivas. El código no miente».

Y según John Sheehy, vicepresidente senior de investigación y estrategia de IOActive, Boeing no ha invitado a nadie de IOActive a participar en su consejo asesor técnico.

«No obstante, nos alienta ver que Boeing pone un mayor énfasis en la ciberseguridad de los productos incluso durante un período de desafíos financieros para la empresa. Creemos que Boeing tiene una nueva perspectiva sobre la ciberseguridad de los productos y un compromiso constructivo con la comunidad de investigación de ciberseguridad como resultado de nuestra interacciones relacionadas con la investigación más reciente de Ruben «, dice Sheehy. «Al closing, llegamos a conclusiones técnicas diferentes a las de Boeing como parte del proyecto de investigación de Ruben».

Sheehy dice que IOActive compartió públicamente su investigación sobre el 787 para brindar información a la industria de la aviación sobre problemas de ciberseguridad de productos. «Ese proyecto ha sido concluido y Rubén está trabajando en su próximo proyecto», dice.

En cuanto a las fallas de firmware que encontró Santamarta, Boeing acaba de trabajar con Honeywell para corregir las vulnerabilidades en el sistema basado en VxWorks 6.2 de Honeywell que funcionaba como el módulo del sistema de mantenimiento / servidor de archivos del sistema de información de la tripulación del 787. Craig dice que la actualización del firmware se había programado en Boeing que prioriza el parcheo según el riesgo. «En el pasado, había protecciones (para las vulnerabilidades) y esos protocolos no son adecuados (ahora), así que estamos tomando medidas» para solucionarlo, dice.

Y Craig reconoció que la respuesta pública inicial de Boeing a la investigación de Santamarta no fue bien recibida. En el panel de DEF CON el viernes, señaló que «no era realmente la intención, pero creo que fue visto como hostil».

Cómo Boeing examina el program de terceros
Boeing dice que tiene un proceso official para garantizar que los equipos y software program de terceros en sus aviones estén libres de vulnerabilidades de seguridad o debilidades potenciales que podrían explotarse. Según Craig, la empresa actualmente está ajustando sus requisitos de seguridad para los proveedores. «Nos estamos volviendo mucho más firmes en cuanto a los requisitos de seguridad y cómo se implementan en proveedores externos», dice. También hay un proceso similar para el desarrollo de código interno.

Los probadores de terceros realizan análisis selectos de código estático y dinámico, dice, y Boeing también realiza ejercicios de mesa sobre ciberseguridad en las fábricas. La compañía también realiza pruebas de penetración y examina cualquier cambio en la crimson. «Cada cambio de red en un avión se somete a una prueba exhaustiva por diseño, y un tercero sale y lo valida», dice Craig. La seguridad está integrada en «todo el ciclo de construcción del avión», dice.

Las actualizaciones de software para la purple de aviones a bordo se realizan en promedio solo una vez al año. «También tenemos archivos de configuración que nos permiten hacer muchas cosas para ayudar a mitigar diferentes aspectos de la pink» de las amenazas, dice. «A medida que actualizamos el software program, lo ponemos a disposición de las aerolíneas clientes para que lo incorporen».

Mientras tanto, la seguridad de la cadena de suministro en la industria de la aviación tiene la atención de la Administración Federal de Aviación (FAA). La FAA actualmente está trabajando en nuevas políticas para asegurar la cadena de suministro de la aviación, según Siddharth Gejji, gerente de seguridad y privacidad de la información de la FAA. «La seguridad de la cadena de suministro es sin duda un gran problema es uno de los mayores riesgos de ciberseguridad», dice Gejji. «Trabajamos muy de cerca con la industria» en este tema, agrega.

Kelly Jackson Higgins es la editora ejecutiva de Darkish Reading. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Community Computing, Safe Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic