Una de las charlas que más ganas tenía de ver durante la conferencia RootedCon 2014 celebrada el pasado mes de Marzo en Madrid fue la de Hugo Teso sobre la seguridad de la aviación. Hugo Teso es un consultor de seguridad informática y piloto comercial catalán expatriado a Alemania como tantos otros. Desde hace 6 años Hugo comenzó a investigar la seguridad en la aviación civil descubriendo graves vulnerabilidades que podían comprometer prácticamente cualquier vuelo comercial o civil. De hecho sus charlas han tenido gran repercusión mediática porque ha demostrado que estos ataques pueden llevarse a cabo simplemente desde un teléfono móvil, tablet, página web, etc.
Algunas veces he tratado de explicar a amigos la existencia de estos ataques y simplemente no se lo han creído. Aquí dejo la charla que dio Hugo en RootedCon y juzgar vosotros mismos. El video dura 1 hora y 10 minutos y creo que no tiene desperdicio.
Durante la charla Hugo habla de los protocolos que se utilizan para la comunicación en la aviación y la carencia de seguridad que estos tienen. A continuación trata sobre la encapsulación que se ha hecho de estos protocolos para facilitar su uso a través de páginas web o dispositivos móviles y también de sus carencias de seguridad. Luego trata sobre el sistema AMI (Airline Modificable Information) para la actualización de los sistemas de los aviones a través de puntos de acceso WIFI o 3/4g y otra vez vuelve a sus problemas de seguridad. Por último realiza dos demostraciones, en la primera realiza un ataque en un escenario con un un simulador con el código original de un avión y en la segunda traslada el sistema anterior a un droide y consigue replicar el ataque. Como curiosidad en el ruegos y preguntas de la charla se puede oír a gente de Airbus comentando su trabajo o cómo la gente de la serie Hawai 5,0 le pidió consejo para grabar un episodio donde un niño secuestra un avión (no he tenido el placer de verlo).
En este enlace podéis también leer una entrevista que el diario El Mundo le realizó en su día. Aunque esta charla ya es algo antigua y la ha presentado ya en varios países, cada año la mejora con nuevos vectores de ataque por ejemplo. Es una de las charlas a seguir próximamente.