Uma auditoria levada a cabo nos Estados Unidos detectou mais de 760 vulnerabilidades de alto risco em aplicações Web utilizadas nas operações do ATC (Air Traffic Control), o sistema de controlo aéreo utilizado no país.
Estes problemas de segurança proporcionam aos atacantes uma forma de acederem não só aos servidores Web mas também a outros sistemas de back-end críticos, de acordo com um relatório produzido pelo Gabinete do Inspector-Geral (OIG) do Departamento de Transportes dos Estados Unidos.
O relatório foi realizado a pedido do Inspector-geral, Calvin Scovel, pela consultora KPMG LLP, com o objectivo de analisar os controlos de segurança das aplicações Web e as capacidades de detecção de intrusões dos sistemas de controlo de tráfego aéreo. Foram identificadas mais de 3850 vulnerabilidades em 70 aplicações Web, metade das quais são de uso público, como as utilizadas para difundir informação geral através da Internet ou para dar as frequências de rádio utilizadas por pilotos e controladores para comunicarem entre si. Mais de 760 vulnerabilidades foram identificadas como sendo de alto risco, já que podem dar acesso a dados e permitir aos hackers executar de forma remota código malicioso ou comandos nos sistemas críticos.
De todas as vulnerabilidades de segurança detectadas, cerca de 500 foram classificadas como de risco médio e as restantes de baixo risco. De acordo com o Gabinete do Inspector-Geral do Departamento de Transportes dos Estados Unidos, as vulnerabilidades de médio ou baixo risco podem permitir aos delinquentes recolher, por exemplo, dados de configuração da rede ou do sistema, que posteriormente poderiam ser utilizados para realizar um ataque.
Durante a realização do estudo, os investigadores obtiveram acesso não autorizado a vários sistemas de aplicações Web. Num dos casos, um dos investigadores foi capaz de entrar no código fonte do programa e recolher informações guardadas no servidor da aplicação Web que gere o fluxo de tráfego dos aviões. Noutro exemplo, as falhas de segurança das aplicações Web permitiram ao pessoal da KPMG aceder a sistemas de monitorização de energia críticos dos centros ATC de Boston, Anchorage, Denver e outras três cidades. O acesso permitiu-lhes gerar relatórios sobre as condições eléctricas que poderiam ter sido utilizados para planificar um ataque a estas instalações.
Os auditores de segurança também concluíram que uma grande parte das instalações da ATC tem insuficientes controlos para detectar e monitorizar intrusões, tendo apenas encontrado capacidades de detecção adequadas em onze delas.
A detecção de um número tão elevado de vulnerabilidades é bastante significativo porque a Administração Federal de Aviação (FAA) começou a utilizar cada vez mais software comercial e tecnologias baseadas em IP para modernizar os sistemas ATC. Esta tecnologia “representa inevitavelmente um maior risco de segurança para os sistemas ATC, do que quando se baseavam principalmente em software proprietário”, sublinha o relatório.
Este estudo surge menos de três meses depois de ter sido detectada uma falha de segurança na FAA, que resultou no aparente roubo dos dados pessoais de cerca de 45 mil empregados que estavam armazenados no servidor da agência. A FAA disse na altura que este roubo aconteceu na sequência de uma intrusão no sistema que armazenava os dados, mas recusou-se a dar mais pormenores sobre o incidente. Nessa altura, a FAA afirmou também que não existiam quaisquer indícios de que os servidores usados para controlar o tráfego aéreo foram também comprometidos.
O relatório do OIG faz notar que a falha de segurança de Fevereiro último foi causada pela vulnerabilidade de uma aplicação Web, explorada pelos criminosos para obterem acesso ao sistema que continha os dados pessoais. Noutro incidente acontecido em Agosto do ano passado, os hackers conseguiram plantar código malicioso num servidor de aplicações Web para obter acesso dos servidores de controlo de domínio da FAA, que poderia ter sido completamente desactivado, se os ciber-criminosos assim o entendessem.
Embora perturbadores, os resultados da auditoria não constituem propriamente uma surpresa, de acordo com Barmak Meftah, vice-presidente de produtos e tecnologia da Fortify Software, um fabricante norte-americano de soluções de segurança. A Fortify, que tem várias agências governamentais como clientes, incluindo o Departamento de Defesa dos EUA, divulgou um relatório em Março último, onde destaca alguns dos perigos que estas agências enfrentam graças às vulnerabilidades das aplicações Web.
"É desconcertante percebermos que existem por aí tantas vulnerabilidades de alto risco. Todos nós esperamos ver algumas vulnerabilidades em aplicações Web, mas nos sistemas da FAA e ATC seria de esperar que prestassem mais atenção ao problema", sustenta Meftah.
Muitas das aplicações Web implementadas nas agências governamentais e no sector privado padecem de vulnerabilidades que são, muitas vezes, difíceis de detectar e de corrigir. Contudo, existem ferramentas que ajudam a monitorizar as aplicações Web em busca de actividade suspeita e que permitem prepará-las contra possíveis ataques, segundo conta o mesmo responsável. A Fortify, por exemplo, é um de vários fabricantes de segurança que disponibilizam soluções capazes de detectar e bloquear actividade suspeita num servidor de aplicações Web. Outra opção são os firewalls de aplicações, capazes de detectar alguns dos mais frequentes ataques. Mas a longo prazo, é preciso prestar mais atenção ao assunto, garantindo a segurança das aplicações Web durante o seu processo de desenvolvimento e não apenas quando já estão implementadas, defende o vice-presidente da Fortify.
A FAA, que recebeu o relatório em Março, concorda com todas as conclusões e recomendações do documento, mas, em resposta, sublinhou que a auditoria apenas envolveu sistemas de suporte administrativos e não os sistemas operacionais. Em comunicado, a agência faz ainda saber que irá "tratar as vulnerabilidades detectadas no relatório OIG com o maior empenho possível".