Como a TT Ethernet pode ser explorada para interromper sistemas críticos • The Register

Uma vulnerabilidade na tecnologia de rede amplamente usada no espaço e nas aeronaves pode, se explorada com sucesso, ter efeitos desastrosos nesses sistemas críticos, dizem os acadêmicos.

Isso inclui comprometer as missões tripuladas da NASA – se alguém conseguir se posicionar para realizar tal ataque, é claro. O abuso dessa falha requer uma série de etapas e a capacidade de invadir a rede do sistema crítico, o que pode não ser trivial.

Em um estudar Divulgado hoje, boffins da Universidade de Michigan nos EUA, com a ajuda da NASA, detalhou a falha e uma técnica para explorá-la, que eles apelidaram de PCspooF. A exploração do PCspooF pode causar mau funcionamento de sistemas críticos em uma rede, interrompendo sua sincronização.

Para chamar a atenção para o problema, a equipe usou hardware e software da agência espacial americana para simular o Missão de redirecionamento de asteroidese concentrou-se no momento do programa em que uma cápsula tripulada Orion deveria se acoplar a uma espaçonave robótica.

Alerta de spoiler: PCspooF desviou deste Orion simulado, errou completamente a doca e voou para o espaço falso, colocando os humanos a bordo em perigo potencial considerável.

A falha existe em uma tecnologia chamada Ethernet atrasada (TTE), que os autores do estudo descrevem como a “espinha dorsal da rede” para espaçonaves, incluindo a cápsula da tripulação Orion da NASA, sua estação espacial Lunar Gateway e o veículo de lançamento Ariane 6. ESA. O TTE também é usado em aeronaves e sistemas de geração de energia, e aparentemente é visto como um “grande concorrente” para potencialmente substituir o barramento de rede do controlador padrão e os protocolos de comunicação FlexRay, nos disseram.

O TTE permite que o tráfego de rede crítico acionado por tempo (TT) (mensagens estritamente sincronizadas e agendadas entre sistemas importantes) compartilhe os mesmos switches e redes com tráfego não crítico sem interrupção. As mensagens para sistemas críticos podem passar e entrar em vigor.

Além disso, o TTE é compatível com Ethernet padrão, que normalmente é usado por esses sistemas não críticos. O TTE isola o tráfego acionado por tempo do tráfego de melhor esforço: as mensagens de sistemas não críticos são distribuídas em torno do tráfego cronometrado mais importante. E esse tipo de projeto, que combina tráfego de dispositivos críticos e não críticos em uma única rede, permite que sistemas de missão crítica sejam executados em hardware de rede de baixo custo, evitando que os dois tipos de tráfego se misturem.

Quebre a barreira do isolamento

O PCspooF, de acordo com os pesquisadores, é o primeiro ataque a quebrar esse isolamento.

Em um nível muito alto, o ataque funciona interrompendo um mecanismo de sincronização no TTE, ou mais precisamente: seus quadros de controle de protocolo. Essas são as mensagens que permitem que os dispositivos críticos operem em uma programação compartilhada e garantem que eles se comuniquem conforme o esperado.

Interromper esses quadros exigiria acesso à rede: pense em malware em um dispositivo não crítico comprometido ou em uma caixa eletrônica maliciosa conectada. Assim, um invasor teria que contrabandear equipamentos defeituosos para um navio, inserir dispositivos maliciosos na cadeia de suprimentos ou comprometer um dispositivo que já estivesse na rede.

Os pesquisadores determinaram que equipamentos de rede não críticos podem inferir informações privadas sobre a parte da rede acionada por tempo. Os dispositivos podem usar essas informações para criar mensagens de sincronização maliciosas para interromper o sistema. Para que essas mensagens falsas sejam transferidas pela rede, os switches devem ser induzidos a fazê-lo usando interferência eletromagnética.

“Normalmente, nenhum dispositivo que não seja um switch de rede tem permissão para enviar esta mensagem, portanto, para que o switch transmita nossa mensagem maliciosa, introduzimos interferência eletromagnética nele por meio de um cabo Ethernet”, Explique Andrew Loveless, aluno de doutorado da UM em ciência da computação e especialista no assunto no Johnson Space Center da NASA.

“Assim que o ataque estiver em andamento, os dispositivos TTE começarão a perder a sincronização esporadicamente e se reconectar repetidamente”, disse Loveless.

Um ataque bem-sucedido pode fazer com que os dispositivos TTE percam a sincronização por até um segundo, deixando de transmitir “dezenas” de mensagens acionadas pelo tempo e causando falhas em sistemas críticos. “Na pior das hipóteses, o PCspooF causa esses resultados simultaneamente para todos os dispositivos TTE na rede”, escreveram os pesquisadores.

Depois de testar com sucesso o ataque em um ambiente simulado, os pesquisadores revelaram a vulnerabilidade das organizações que usam TTE, incluindo NASA, ESA, Northrop Grumman Space Systems e Airbus Defense and Space. Com base na pesquisa, a NASA está reconsiderando como integra experimentos e verifica hardware comercial pronto para uso para garantir que ninguém esteja explorando esse problema com dispositivos maliciosos ou comprometidos. ®