Pesquisadores da Trend Micro, líder mundial em segurança na era da nuvem, descobriram que falhas no sistema SIA de rastreamento de embarcações podem permitir que invasores sequestrem a comunicação de navios existentes, criem navios falsos, gerem falsos alertas de SOS ou de colisão e até mesmo desativem permanentemente o rastreamento SIA em qualquer navio.
Figura 1. Navios de 300 toneladas não deveriam estar passando pela rua principal de uma cidade
O SIA é o Sistema de Identificação Automática, um localizador obrigatório para todos os navios comerciais (exceto os de pesca) com mais de 300 toneladas, assim como navios de passageiros (independentemente do tamanho e do peso). O SIA funciona através da obtenção das coordenadas GPS e pela troca de posição. Está instalado em cerca de 400 mil embarcações.
À medida que o mundo torna-se mais ligado à “internet das coisas”, os pesquisadores de visão de futuro e ameaças da Trend Micro continuam a analisar tecnologias que podem ser atacadas em um futuro próximo. Na última conferência de segurança HITB em Kuala Lumpur, dois pesquisadores da equipe – Kyle Wilhoit e Dr. Marco Balduzzi -, juntamente com o pesquisador independente Alessandro Pasta, apresentaram uma série de experimentos que mostraram que o SIA é altamente vulnerável a uma ampla gama de ataques que poderiam ser facilmente realizados por piratas, terroristas ou outros criminosos. A Trend Micro teve o cuidado de realizar a divulgação para os responsáveis de todos os principais organismos de normalização envolvidos na SIA, bem como os principais provedores on-line de informações de rastreamento do SIA.
Os ataques podem ser divididos em duas partes. Em primeiro lugar, a Trend Micro descobriu que os principais provedores SIA de internet que coletam informações e as distribuem publicamente têm vulnerabilidades que permitem a um possível criminoso adulterar dados SIA válidos e injetar dados falsos, tais como:
· Modificação de todos os detalhes sobre o navio, como posição, curso, carga, país de origem, velocidade, nome, MMSI (Mobile Maritime Service Identity – Serviço de Identidade Móvel Marítimo), condição atual, etc.
· Criação de falsos navios com todos os detalhes idênticos, por exemplo: mostrar uma embarcação iraniana, com carga nuclear na costa dos EUA.
· Criar e modificar a criação de entradas na Ajuda de Navegação (Aid to Navigation – Aton), como bóias e faróis. O que pode levar a cenários como o bloqueio da entrada de um porto, fazer com que um navio entre e naufrague, etc.
· Criar e modificar aeronaves de busca e salvamento marítimo, como helicópteros e aeronaves leves, fazer com que um helicóptero de busca e salvamento da guarda costeira que esteja parado, “decole” e siga em um curso programado.
Além disso, também foram descobertas falhas na especificação atual do protocolo SIA usado por transceptores de hardware em todas as embarcações obrigatórias. Além das ameaças acima, foram comprovados cenários adicionais:
· Assumir a identidade de autoridades marítimas para desativar permanentemente o sistema SIA em um navio, tanto forçando o navio a parar de comunicar a sua posição, quanto impedindo que ele receba notificações SIA de todos os outros navios nas proximidades (essencialmente um ataque de negação de serviço). E também pode ser realizado pela demarcação de uma área geográfica, como por exemplo, assim que um navio entrar no espaço marítimo da Somália, desaparecer do SIA, mas continuar visível para os responsáveis pelo ataque.
· Falsificar um sinal de emergência de “homem-ao-mar” em qualquer local, o que também vai disparar alarmes em todas as embarcações em um raio de aproximadamente 50 km.
· Falsificar um alerta de “ponto mais próximo de aproximação” (CPA – Closest Point of Approach) e disparar um alerta de aviso de colisão. Em alguns casos isso pode fazer com que o software do navio recalcule a rota para evitar a colisão, permitindo que o responsável pelo ataque “desloque” fisicamente um barco em uma determinada direção.
· Enviar falsas informações meteorológicas a uma embarcação, como por exemplo: tempestade se aproximando, alterar o percurso.
· Fazer com que navios enviem o tráfego SIA com muito mais frequência do que o normal, resultando em uma inundação de avisos a todos os navios e as autoridades marítimas ao alcance.
Tudo isso é possível porque o protocolo SIA foi projetado com aparentemente zero consideração com segurança. Em particular, observamos principalmente os seguintes aspectos:
– Falta de verificação de validade: É possível enviar uma mensagem SIA a partir de qualquer localização em nome de um navio que está em outro local. Por exemplo, é possível enviar uma mensagem de um local perto de Nova York em nome de um navio que afirma estar no Golfo do México, e o aviso será aceito sem questionamentos. Nenhuma verificação de validade geográfica é realizada.
– Falta de cronometragem de tempo: Também é possível reproduzir informações SIA existentes e válidas, porque não existem informações de cronometragem incluídas na mensagem. É possível, por exemplo, replicar a posição de um navio.
– Falta de autenticação: Não há autenticação incorporada ao protocolo SIA. Isto significa que qualquer um capaz de criar um pacote de SIA pode se fazer passar por qualquer outro navio no planeta, e todos os navios que recebem o aviso tratarão a mensagem como um fato.
– Falta de verificação de integridade: Todas as mensagens SIA são enviadas de forma não criptografada e não assinada, tornando-as triviais de interceptar e modificar.
Apesar de todos os ataques descritos acima terem sido realizados no laboratório da Trend Micro configurado para testes dedicados – onde são usados equipamentos específicos de rádio definidos por software – também foi provado que é possível que um criminoso seja capaz de realizar tais ataques usando um rádio VHF padrão modificado, fácil de obter e que custa cerca de 150 euros, ou 200 dólares.
Solucionar as falhas do SIA não é trivial, uma vez que elas existem desde o núcleo do protocolo. Mesmo que os provedores de internet SIA alterem seus sites, o protocolo subjacente ainda está vulnerável a muitos abusos. No mínimo, uma nova versão do SIA deveria incorporar defesas para as três questões fundamentais descritas: validade, autenticação e criptografia. Temos plena consciência de que os custos para atualizar o SIA em todas as embarcações são altos -, mas à luz de ameaças como a pirataria e o terrorismo, realmente não há alternativas.
O SIA é apenas um dos exemplos de um sistema crítico baseado em rádio que foi projetado em um mundo sem Internet ou rádio definido por software. O problema é maior do que somente o tráfego marítimo. Outros sistemas como o ADS- B (usado por aviões), ou sistemas que envolvem comunicação relacionada a veículos que em breve serão lançados sofrem de algumas das mesmas limitações e vulnerabilidades.
A equipe de pesquisadores de visão de futuro e ameaças da Trend Micro está investigando ativamente esta área como parte da missão da Trend Micro para proteger o mundo com relação à troca de informação digital.