El senyal que fan servir els avions per trobar una pista d'aterratge es pot falsificar amb un walkie-talkie de 600 dòlars.
Un avió que demostra un atac a una ràdio a causa de senyals falsificats. aterra a la dreta de la pista
Gairebé tots els avions que han volat en els últims 50 anys, ja sigui un Cessna d'un sol motor o un jumbo jet de 600 seients, han confiat en les ràdios per aterrar amb seguretat als aeroports. Aquests sistemes d'aterratge per instruments (ILS) es consideren sistemes d'aproximació de precisió perquè, a diferència del GPS i altres sistemes de navegació, proporcionen informació vital en temps real sobre l'orientació horitzontal de l'avió en relació amb la seva franja d'aterratge i l'angle vertical de descens. En moltes condicions, sobretot quan s'aterra amb boira o pluja a la nit, aquesta radionavegació segueix sent la principal manera d'assegurar que l'avió toca terra al principi de la pista i exactament al mig.
Com moltes altres tecnologies creades en el passat, KGS no va proporcionar protecció contra la pirateria. Els senyals de ràdio no estan xifrats i no es pot verificar la seva autenticitat. Els pilots simplement assumeixen que els senyals d'àudio que reben els seus sistemes a la freqüència assignada a l'aeroport són senyals reals emesos per l'operador de l'aeroport. Durant molts anys, aquesta falla de seguretat va passar desapercebuda, en gran part perquè el cost i la dificultat de la falsificació del senyal van fer que els atacs fossin inútils.
Però ara els investigadors han desenvolupat un mètode de pirateria de baix cost que planteja preguntes sobre la seguretat del CGS utilitzat a pràcticament tots els aeroports civils del món industrial. Utilitzant una ràdio de 600 dòlars , els investigadors poden falsificar els senyals de l'aeroport de manera que els instruments de navegació del pilot indiquin que l'avió està fora de curs. Segons la formació, el pilot ha de corregir el ritme de descens o l'actitud del vaixell, creant així el risc d'accident.
Una tècnica d'atac és falsificar senyals que l'angle de descens és menor del que és realment. El missatge falsificat conté l'anomenat Un senyal de "descens" que informa al pilot que augmenta l'angle de descens, possiblement provocant que l'avió toqui el terra abans de l'inici de la pista.
El vídeo mostra un senyal manipulat d'una altra manera que podria suposar una amenaça per a un avió que entra a aterrar. Un atacant pot enviar un senyal dient al pilot que el seu avió es troba a l'esquerra de la línia central de la pista, quan de fet l'avió està exactament centrat. El pilot reaccionarà estirant l'avió cap a la dreta, cosa que finalment farà que es desviï cap al costat.
Els investigadors de la Northeastern University de Boston van consultar un pilot i un expert en seguretat, i tenen cura de tenir en compte que és poc probable que aquesta falsificació del senyal provoqui un accident en la majoria dels casos. Els errors de funcionament del CGS són un perill de seguretat conegut i els pilots experimentats reben una àmplia formació sobre com respondre-hi. En temps clar, serà fàcil que un pilot s'adoni que l'avió no està alineat amb la línia central de la pista i podrà circular.
Un altre motiu d'escepticisme raonable és la dificultat d'executar l'atac. A més d'una estació de ràdio programable, es necessitaran antenes direccionals i un amplificador. Tot aquest equip seria bastant difícil de passar de contraban a un avió si un hacker volgués llançar un atac des de l'avió. Si decideix atacar des de terra, necessitarà molta feina per alinear l'equip amb la pista d'aterratge sense cridar l'atenció. A més, els aeroports solen controlar les interferències en freqüències sensibles, cosa que podria significar que un atac s'atura poc després que comenci.
El 2012, l'investigador Brad Haynes, conegut com , en el sistema ADS-B (Automatic Dependent Surveillance-Broadcast), que les aeronaus utilitzen per determinar la seva ubicació i transmetre dades a altres aeronaus. Va resumir les dificultats de falsificar els senyals CGS de la següent manera:
Si tot s'ajunta: ubicació, equipament ocult, males condicions meteorològiques, un objectiu adequat, un atacant ben motivat, intel·ligent i amb capacitat financera, què passa? En el pitjor dels casos, l'aeronau aterra a l'herba i és possible ferir-se o morir, però els equips de disseny segur de l'avió i de resposta ràpida asseguren que hi ha molt poques possibilitats que un incendi enorme provoqui la pèrdua de l'avió sencer. En aquest cas, l'aterratge quedarà suspès i l'atacant ja no podrà repetir-ho. En el millor dels casos, el pilot notarà la discrepància, tacarà els pantalons, augmentarà l'altitud, donarà la volta i informarà que alguna cosa no funciona amb el CGS; l'aeroport iniciarà una investigació, la qual cosa significa que l'atacant ja no voldrà fer-ho. romandre a prop.
Per tant, si tot s'ajunta, el resultat serà mínim. Compareu això amb la ràtio de retorn a la inversió i l'impacte econòmic d'un idiota amb un dron de 1000 dòlars que volava per l'aeroport d'Heathrow durant dos dies. Sens dubte, un dron era una opció més eficaç i viable que un atac d'aquest tipus.
Tot i així, els investigadors diuen que hi ha riscos que els avions que no aterren dins del camí de planeig -la línia imaginària que segueix un avió durant un aterratge perfecte- són molt més difícils de detectar, fins i tot amb bon temps. A més, alguns aeroports ocupats, per tal d'evitar retards, indiquen a les aeronaus que no es precipitin en una aproximació frustrada, fins i tot en condicions de mala visibilitat. Les directrius d'aterratge de l'Administració Federal d'Aviació dels EUA, que segueixen molts aeroports dels EUA, indiquen que aquesta decisió s'ha de prendre a una altitud de només 15 m. A Europa s'apliquen instruccions similars. Deixen molt poc temps al pilot per avortar l'aterratge amb seguretat si les condicions visuals circumdants no coincideixen amb les dades del CGS.
"Detectar i recuperar-se de qualsevol fallada d'instrument durant els procediments d'aterratge crítics és una de les tasques més difícils de l'aviació moderna", van escriure els investigadors al seu article. titulat "Atacs sense fil als sistemes de trajecte de planeig d'avions", adoptat a . "Tenint en compte com els pilots depenen molt del CGS i dels instruments en general, els errors i les interferències malicioses poden tenir conseqüències catastròfiques, especialment durant les operacions d'aproximació i vol autònoms".
Què passa amb les fallades del KGS
Diversos aterratges propers al desastre demostren els perills de les fallades del CGS. El 2011, el vol SQ327 de Singapore Airlines, amb 143 passatgers i 15 tripulants a bord, es va inclinar de sobte cap a l'esquerra mentre es trobava a 10 metres per sobre de la pista de l'aeroport de Munic a Alemanya. Després de l'aterratge, el Boeing 777-300 va girar a l'esquerra, després va girar a la dreta, va creuar la línia central i es va aturar amb el tren d'aterratge a l'herba a la dreta de la pista.
В Sobre l'incident, publicat per la Comissió Federal d'Investigació d'Accidents Aeri, està escrit que l'avió va perdre el punt d'aterratge per 500 m. Els investigadors van dir que un dels culpables de l'incident va ser la distorsió dels senyals de la balisa d'aterratge del localitzador. fora de l'avió. Tot i que no es van registrar víctimes, l'esdeveniment va posar de manifest la gravetat de la fallada dels sistemes CGS. Altres incidents que van implicar una fallada del CGS que gairebé van acabar tràgicament inclouen el vol NZ 60 de Nova Zelanda el 2000 i el vol FR3531 de Ryanair el 2013. El vídeo explica què va fallar en aquest darrer cas.
Vaibhab Sharma dirigeix les operacions globals de l'empresa de seguretat de Silicon Valley i porta avions petits des del 2006. També té una llicència d'operador de comunicacions amateur i és membre voluntari de la Patrulla Aèria Civil, on es va formar com a socorrista i operador de ràdio. Vola un avió al simulador X-Plane, demostrant un atac de falsificació de senyal que fa que l'avió aterri a la dreta de la pista.
Sharma ens va dir:
Aquest atac al CGS és realista, però la seva eficàcia dependrà d'una combinació de factors, inclòs el coneixement de l'atacant dels sistemes de navegació aèria i les condicions d'aproximació. Si s'utilitza correctament, un atacant podrà desviar l'aeronau cap als obstacles que envolten l'aeroport, i si es fa en condicions de mala visibilitat, serà molt difícil per a l'equip de pilot detectar i fer front a les desviacions.
Va dir que els atacs tenen el potencial d'amenaçar tant avions petits com grans avions, però per diferents motius. Els avions petits viatgen a velocitats més baixes. Això dóna temps als pilots per reaccionar. Els avions grans, d'altra banda, tenen més membres de la tripulació disponibles per respondre a esdeveniments adversos, i els seus pilots solen rebre una formació més freqüent i rigorosa.
Va dir que el més important per als avions grans i petits serà avaluar les condicions del voltant, especialment el clima, durant l'aterratge.
"Un atac com aquest és probable que sigui més eficaç quan els pilots hagin de confiar més en els instruments per fer un aterratge amb èxit", va dir Sharma. "Podrien ser aterratges nocturns en condicions de mala visibilitat, o una combinació de males condicions i espai aeri congestionat que requereix que els pilots estiguin més ocupats, deixant-los molt dependents de l'automatització".
Aanjan Ranganathan, un investigador de la Northeastern University que va ajudar a desenvolupar l'atac, ens va dir que no es pot confiar en el GPS per ajudar si el CGS falla. Les desviacions de la pista en un atac de falsificació efectiu oscil·laran entre 10 i 15 metres, ja que qualsevol cosa més gran serà visible per als pilots i controladors de trànsit aeri. El GPS tindrà grans dificultats per detectar aquestes desviacions. La segona raó és que és molt fàcil falsificar els senyals GPS.
"Puc falsificar el GPS en paral·lel amb la falsificació del CGS", va dir Ranganathan. "Tota la qüestió és el grau de motivació de l'atacant".
Predecessor del KGS
Les proves KGS han començat , i el primer sistema de treball es va desplegar el 1932 a l'aeroport alemany de Berlín-Tempelhof.
KGS segueix sent un dels sistemes d'aterratge més efectius. Altres enfocaments, per exemple, , la balisa localitzadora, el sistema de posicionament global i sistemes similars de navegació per satèl·lit es consideren inexactes perquè només proporcionen una orientació horitzontal o lateral. El KGS es considera un sistema de trobada precís, ja que proporciona una orientació tant horitzontal com vertical (camí de planeig). En els darrers anys s'han utilitzat cada cop menys sistemes imprecisos. El CGS es va associar cada cop més amb els pilots automàtics i els sistemes d'aterratge automàtic.
Com funciona el CGS: localitzador [localitzador], pendent de planeig [pendient planejador] i balises marcadores [balisa marcadora]
El CGS té dos components clau. El localitzador indica al pilot si l'avió està desplaçat a l'esquerra o a la dreta de la línia central de la pista, i el pendent de planeig indica al pilot si l'angle de descens és massa alt perquè l'avió es perdi l'inici de la pista. El tercer component són les balises marcadores. Actuen com a marcadors que permeten al pilot determinar la distància a la pista. Amb els anys, s'han substituït cada cop més pel GPS i altres tecnologies.
El localitzador utilitza dos conjunts d'antenes, que emeten dos tons de so diferents, un a 90 Hz i l'altre a 150 Hz, i a una freqüència assignada a una de les pistes d'aterratge. Les matrius d'antenes es troben a banda i banda de la pista, normalment després del punt d'enlairament, de manera que els sons es cancel·len quan l'avió d'aterratge es troba directament per sobre de la línia central de la pista. L'indicador de desviació mostra una línia vertical al centre.
Si l'avió gira cap a la dreta, el so de 150 Hz es fa cada cop més audible, fent que el punter de l'indicador de desviació es mogui a l'esquerra del centre. Si l'avió gira cap a l'esquerra, el so de 90 Hz es fa audible i el punter es mou cap a la dreta. Un localitzador, per descomptat, no pot substituir completament el control visual de l'actitud d'un avió, proporciona un mitjà d'orientació clau i molt intuïtiu. Els pilots simplement han de mantenir el punter centrat per mantenir l'avió exactament per sobre de la línia central.
El pendent de planeig funciona de la mateixa manera, només que mostra l'angle de descens de l'avió en relació amb l'inici de la pista d'aterratge. Quan l'angle de l'avió és massa baix, el so de 90 Hz es fa audible i els instruments indiquen que l'avió ha de baixar. Quan el descens és massa pronunciat, un senyal a 150 Hz indica que l'avió ha de volar més alt. Quan l'avió es manté a l'angle de trajecte de planeig prescrit d'aproximadament tres graus, els senyals s'anul·len. Dues antenes de pendent de planeig es troben a la torre a una certa alçada, determinada per l'angle de la trajectòria de planeig adequat per a un aeroport concret. La torre es troba normalment a prop de la zona de toc de la franja.
Fals perfecte
L'atac dels investigadors de la Northeastern University utilitza transmissors de ràdio de programari disponible comercialment. Aquests dispositius, que es venen entre 400 i 600 dòlars, transmeten senyals fent veure que són senyals reals enviats pel SSC de l'aeroport. L'emissor de l'atacant es pot localitzar tant a bord de l'avió atacat com a terra, a una distància de fins a 5 km de l'aeroport. Sempre que el senyal de l'atacant superi la potència del senyal real, el receptor KGS percebrà el senyal de l'atacant i demostrarà l'orientació relativa a la trajectòria de vol vertical i horitzontal planificada per l'atacant.
Si la substitució està mal organitzada, el pilot veurà canvis sobtats o erràtics en les lectures de l'instrument, que confondrà amb un mal funcionament del CGS. Perquè la falsificació sigui més difícil de reconèixer, un atacant pot aclarir la ubicació exacta de l'aeronau que utilitza , un sistema que transmet cada segon la ubicació GPS d'una aeronau, l'altitud, la velocitat de terra i altres dades a les estacions terrestres i altres vaixells.
Utilitzant aquesta informació, un atacant pot començar a falsificar el senyal quan un avió que s'acosta s'ha mogut cap a l'esquerra o cap a la dreta en relació a la pista, i enviar un senyal a l'atacant que l'avió està avançant a nivell. El moment òptim per atacar és quan l'avió acaba de passar el waypoint, tal com es mostra al vídeo de demostració al començament de l'article.
Aleshores, l'atacant pot aplicar un algorisme de generació i correcció del senyal en temps real que ajustarà contínuament el senyal maliciós per garantir que el desplaçament del camí correcte sigui coherent amb tots els moviments de l'avió. Fins i tot si l'atacant no té l'habilitat per fer un senyal fals perfecte, pot confondre tant el CGS que el pilot no pot confiar-hi per aterrar.
Una variant de la falsificació del senyal es coneix com a "atac d'ombra". L'atacant envia senyals especialment preparats amb una potència superior als senyals del transmissor de l'aeroport. El transmissor d'un atacant normalment hauria d'enviar 20 watts de potència per fer-ho. Els atacs d'ombra faciliten la falsificació convincent d'un senyal.
Atac a l'ombra
La segona opció per substituir un senyal es coneix com a "atac d'un sol to". El seu avantatge és que és possible enviar so de la mateixa freqüència amb una potència inferior a la del KGS de l'aeroport. Té diversos desavantatges, per exemple, l'atacant ha de conèixer exactament les característiques específiques de l'avió, per exemple, la ubicació de les seves antenes CGS.
Atac d'un sol to
No hi ha solucions fàcils
Els investigadors diuen que encara no hi ha manera d'eliminar l'amenaça d'atacs de falsificació. Les tecnologies de navegació alternatives, com ara la balisa azimut omnidireccional, la balisa localitzadora, el sistema de posicionament global i sistemes de navegació per satèl·lit similars, són senyals sense fil que no tenen un mecanisme d'autenticació i, per tant, són susceptibles a atacs de falsificació. A més, només KGS i GPS poden proporcionar informació sobre la trajectòria d'aproximació horitzontal i vertical.
En el seu treball, els investigadors escriuen:
La majoria dels problemes de seguretat als quals s'enfronten tecnologies com ara , и , es pot solucionar introduint la criptografia. Tanmateix, la criptografia no serà suficient per evitar atacs de localització. Per exemple, el xifratge del senyal GPS, similar a la tecnologia de navegació militar, pot prevenir els atacs de falsificació fins a cert punt. Tot i així, l'atacant podrà redirigir els senyals GPS amb els retards de temps que necessiti, i aconseguir la substitució d'ubicació o hora. Es pot inspirar de la literatura existent sobre mitigar els atacs de falsificació de GPS i crear sistemes similars a l'extrem del receptor. Una alternativa seria implementar un sistema de localització segura a gran escala basat en límits de distància i tècniques de confirmació de proximitat segura. No obstant això, això requeriria una comunicació bidireccional i requereix un estudi addicional sobre escalabilitat, viabilitat, etc.
L'Administració Federal d'Aviació dels EUA va dir que no tenia prou informació sobre la demostració dels investigadors per comentar.
Aquest atac i la quantitat important d'investigacions que s'han fet són impressionants, però la pregunta principal del treball continua sense resposta: quina probabilitat hi ha que algú estigui realment disposat a prendre la molèstia de dur a terme un atac d'aquest tipus? Altres tipus de vulnerabilitats, com les que permeten als pirates informàtics instal·lar de manera remota programari maliciós als ordinadors dels usuaris o evitar els sistemes de xifratge populars, són fàcils de monetitzar. Aquest no és el cas d'un atac de falsificació CGS. Els atacs que amenacen la vida a marcapassos i altres dispositius mèdics també entren en aquesta categoria.
Tot i que la motivació d'aquests atacs és més difícil de veure, seria un error descartar-ne la possibilitat. EN , publicat al maig per C4ADS, una organització sense ànim de lucre que cobreix els conflictes mundials i la seguretat interestatal, va trobar que la Federació de Rússia sovint es dedicava a proves a gran escala de les interrupcions del sistema GPS que feien que els sistemes de navegació dels vaixells es desviessin de la seva ruta 65 milles o més.de fet, l'informe diu que durant l'obertura del pont de Crimea (és a dir, no "sovint", sinó només una vegada), el sistema de navegació global va ser enderrocat per un transmissor situat en aquest pont i el seu treball es va sentir fins i tot a prop. Anapa, situat a 65 km (no milles) d'aquest lloc. “I així tot és cert” (c) / aprox. traducció].
"La Federació Russa té un avantatge comparatiu a l'hora d'explotar i desenvolupar capacitats per enganyar els sistemes de navegació globals", adverteix l'informe. "No obstant això, el baix cost, la disponibilitat oberta i la facilitat d'ús d'aquestes tecnologies ofereixen no només als estats, sinó també als insurgents, terroristes i criminals àmplies oportunitats per desestabilitzar xarxes estatals i no estatals".
I tot i que la falsificació de CGS sembla esotèrica el 2019, no és gens descabellat pensar que serà més habitual en els propers anys a mesura que les tecnologies d'atac s'entenguin millor i els transmissors de ràdio controlats per programari siguin més habituals. No cal que es facin atacs al CGS per provocar accidents. Es poden utilitzar per interrompre els aeroports de la mateixa manera que els drons il·legals van provocar el tancament de l'aeroport de Gatwick de Londres el desembre passat, uns dies abans de Nadal, i l'aeroport d'Heathrow tres setmanes després.
"Els diners són una motivació, però la mostra de poder n'és una altra", va dir Ranganathan. – Des del punt de vista defensiu, aquests atacs són molt crítics. Això s'ha de tenir en compte perquè hi haurà prou gent en aquest món que voldrà mostrar força".
Font: www.habr.com