La sfida agli hacker dei voli
I software in vendita via web per pochi euro riescono a elaborare 300 milioni di password Le contromosse di compagnie aeree e Fbi
Cinque minuti per accedere al sistema di comunicazione tra aereo e torre di controllo. Due giorni per modificare — dalla terraferma — i parametri del «Flight Management System», l’interfaccia di gestione di un volo. Quando Patrick Ky, direttore dell’Agenzia europea della sicurezza aerea (Easa), ha visto i risultati del pilota-hacker che aveva ingaggiato per testare le vulnerabilità, non ha avuto dubbi: bisogna attivare il prima possibile una squadra di pronto intervento, 50-60 poliziotti digitali, che in ogni momento possano fermare un attacco informatico ai velivoli e agli aeroporti. «Perché l’unica certezza è che comunque qualcuno ti aggredirà», ragiona Kurt Pipal, agente dell’Fbi ed esperto informatico.
Negli ultimi due anni sono in netto aumento gli attacchi cibernetici nel settore dell’aviazione. I jet sono sempre più connessi. Almeno 52 compagnie nell’intero pianeta — calcola la società Routehappy — offrono il wi-fi a bordo in quasi tutti i loro voli. Un numero maggiore fornisce agli assistenti di bordo i tablet per gestire ogni fase del collegamento. Soltanto British Airways, per esempio, ha sviluppato una quarantina di applicazioni e consegnato a comandanti, hostess e steward 17 mila iPad.
Il tutto mentre su eBay è possibile acquistare per una manciata di euro software in grado di elaborare 300 milioni di diverse chiavi di accesso in pochi minuti fino a trovare la password effettiva. Poco più di un anno fa l’esperto di cybersicurezza Chris Roberts è stato fermato e interrogato dall’Fbi dopo aver scritto su Twitter che era in grado di accedere ai comandi di un aeromobile. Ai federali Roberts ha raccontato di essere riuscito a dare persino potenza ai motori di un jet.
Gli aerei sono diventati facili prede degli hacker? «La maggior parte dei velivoli che vola oggi e che offre servizio wi-fi non è stato costruito all’inizio per supportare, nella massima sicurezza possibile, la connettività», sostiene il maggior generale Linda R. Urrutia-Varhall, da poco direttore delle operazioni al National Geospatial-Intelligence Agency, l’ente che ha pedinato via satellite il nascondiglio pakistano di Osama bin Laden. «Il settore è al centro degli interessi dei terroristi e dei criminali, bisogna condividere di più le informazioni».
«Però nessun velivolo, ad oggi, è stato davvero hackerato nelle sue parti essenziali», dice al Corriere Pascal Andrei, vicepresidente di Airbus Group, da quindici anni il responsabile della sicurezza dei velivoli A380 e A350. Andrei è a capo di tutto quello che si muove dentro il colosso europeo in materia di protezione dagli attacchi informatici dei velivoli (civili e militari) e dei satelliti. «I nuovi aerei sono sempre più informatizzati e sempre più connessi, ma sono stati anche progettati di conseguenza — aggiunge —. Nell’A380 ci siamo basati sulla partizione: ogni blocco è separato dall’altro, a partire da quello dell’avionica (il vero computer di bordo, ndr)». E se i malintenzionati colpiscono i satelliti mandando in tilt il Gps? «L’aereo è dotato di un suo sistema di geoposizionamento».
Insomma, i sistemi «critici» per Andrei non sono attaccabili grazie anche alle leggi internazionali. «Quello che non è regolato è l’intrattenimento di bordo (chiamato Ife, ndr): qui la sicurezza è a carico del singolo vettore». «Gli hacker sono davvero entrati nell’Ife», conferma Alan Pellegrini, amministratore delegato di Thales Usa, azienda che produce strumenti aerospaziali. Una volta dentro, i malintenzionati possono rubare i dati delle carte di credito, intrufolarsi nelle caselle email, mandare virus per bloccare la visione dei film o rubarli».
«Finora abbiamo stabilito 29 scenari di rischio informatico», rivela Calin Rovinescu, ad di Air Canada. Scenari condivisi con le compagnie appartenenti a Star Alliance (la più grande alleanza del mondo) «che ha 18 gruppi che si occupano di cybersicurezza». «Bisogna usare di più gli hacker “buoni” per colmare le lacune informatiche», suggerisce Anja Kaspersen, capo dell’International Security del World Economic Forum. Cosa che in Airbus, chiarisce Pascal Andrei, fanno già: «Dal 2004 ne abbiamo 14 e si muovono sotto la nostra supervisione oppure si tengono aggiornati». Non saranno gli unici. «Molti altri, quando mi incrociano, chiedono di venire a lavorare in Airbus. E noi i migliori li prendiamo».