Em resumo: Pesquisadores da Universidade de Michigan e da NASA descobriram uma falha crítica de segurança em um protocolo de rede usado em infraestruturas aeroespaciais, aéreas, de geração de energia e de controle industrial. A vulnerabilidade está em um sistema chamado “Ethernet disparada por tempo” (TTE).
A Ethernet acionada por tempo é um sistema que permite que dispositivos de missão crítica, como controladores de voo, sejam executados no mesmo hardware de rede que sistemas não essenciais, como WiFi de passageiros. O protocolo TTE surgiu devido à necessidade de maneiras econômicas e eficientes de compartilhar recursos de rede, em vez de ter dois sistemas totalmente separados.
O protocolo funcionou bem por mais de 10 anos, mantendo os dois tipos de tráfego segregados. No entanto, os pesquisadores desenvolveram um ataque apelidado de PCspooF que explora uma falha nos comutadores de rede. A equipe demonstrou a fraqueza usando hardware real da NASA configurado para simular um teste tripulado de redirecionamento de asteroides. Um momento antes do procedimento de atracação, a equipe enviou mensagens perturbadoras ao sistema da cápsula que causaram uma cascata de interrupções e enviaram a embarcação além de seu ponto de contato.
“Queríamos determinar qual seria o impacto em um sistema real”, disse Baris Kasikci, professor assistente de ciência da computação e engenharia de Michigan. “Se alguém executasse este ataque em uma missão espacial real, qual seria o dano?”
De acordo com os testes, os resultados podem ser catastróficos, resultando em uma corrida louca para corrigir o curso no melhor dos cenários ou colisões com objetos ou outras naves no pior.
Os switches Ethernet acionados por tempo decidem a prioridade do tráfego. Portanto, quando um sistema compete com outro por tempo de rede, aquele com status de missão crítica é priorizado.
Para enviar mensagens falsas de sincronização, a equipe desenvolveu uma máquina que emula switches de rede. No entanto, o protocolo TTE aceita apenas sinais de sincronização de comutadores de rede no dispositivo vulnerável. Assim, a equipe introduziu interferência eletromagnética (EMI) por meio do cabo Ethernet para superar esse obstáculo. A EMI cria uma lacuna suficiente no protocolo de segurança para permitir a passagem de sinais maliciosos.
“Assim que o ataque estiver em andamento, os dispositivos TTE começarão a perder a sincronização esporadicamente e a se reconectar repetidamente”, disse Andrew Loveless, estudante de doutorado em ciência da computação e engenharia da Universidade de Michigan.
Um fluxo constante de mensagens não é necessário para criar resultados caóticos. Depois que alguns sinais são transmitidos, a sincronização é lançada completamente “fora de sintonia” e ocorre em cascata quando outros comandos de missão crítica são lançados em uma fila ou descartados completamente.
Existem algumas opções de mitigação sugeridas pela equipe de pesquisa. Uma seria trocar o fio Ethernet de cobre por fibra ótica ou colocar isoladores entre switches e dispositivos não confiáveis. No entanto, essa revisão da infraestrutura pode ser cara e apresentar compensações de desempenho. Um método mais barato seria alterar o layout da rede para que as mensagens de sincronização de uma fonte maliciosa não possam percorrer o mesmo caminho que os sinais legítimos.
No ano passado, os pesquisadores comunicaram suas descobertas e sugestões de mitigação aos fabricantes de dispositivos e empresas que fabricam e usam sistemas TTE. Eles não acreditam que a vulnerabilidade represente nenhum risco imediato para os consumidores comuns e não viram nenhum ataque que imite esse vetor na natureza.
“Todos foram altamente receptivos sobre a adoção de mitigações”, disse Loveless. “Até onde sabemos, não há uma ameaça atual à segurança de ninguém por causa desse ataque. Ficamos muito encorajados com a resposta que vimos da indústria e do governo.”
Crédito da imagem: NASA/Space X