Signál, který letadla používají k nalezení přistávací dráhy, lze zfalšovat pomocí vysílačky za 600 dolarů.
Letadlo demonstrující útok na rádio kvůli falešným signálům. přistává napravo od ranveje
Téměř každé letadlo, které létalo za posledních 50 let – ať už to byla jednomotorová Cessna nebo 600místný Jumbo Jet – spoléhalo na rádia, aby bezpečně přistálo na letištích. Tyto přístrojové přistávací systémy (ILS) jsou považovány za systémy pro přesné přiblížení, protože na rozdíl od GPS a jiných navigačních systémů poskytují životně důležité informace v reálném čase o horizontální orientaci letadla vzhledem k jeho přistávací poloze, pruhu a vertikálním úhlu klesání. V mnoha podmínkách – zejména při přistávání v mlze nebo nočním dešti – zůstává tato radionavigace hlavním způsobem, jak zajistit, aby letadlo dosedlo na začátku dráhy a přesně uprostřed.
Stejně jako mnoho jiných technologií vytvořených v minulosti, KGS neposkytovala ochranu proti hackerům. Rádiové signály nejsou šifrovány a nelze ověřit jejich pravost. Piloti jednoduše předpokládají, že zvukové signály, které jejich systémy přijímají na přidělené frekvenci letiště, jsou skutečné signály vysílané provozovatelem letiště. Po mnoho let zůstala tato bezpečnostní chyba nepovšimnuta, především proto, že kvůli ceně a obtížnosti falšování signálu byly útoky bezpředmětné.
Nyní však výzkumníci vyvinuli nízkonákladovou metodu hackování, která vyvolává otázky o bezpečnosti CGS používaného prakticky na každém civilním letišti v průmyslovém světě. Pomocí rádia za 600 dolarů mohou výzkumníci zfalšovat letištní signály, takže pilotovy navigační přístroje indikují, že letadlo je mimo kurz. Podle výcviku musí pilot korigovat rychlost klesání nebo polohu plavidla, čímž vzniká riziko nehody.
Jednou z technik útoku je falešné signály, že úhel sestupu je menší, než ve skutečnosti je. Padělaná zpráva obsahuje tzv Signál „sundejte“ informující pilota, aby zvýšil úhel klesání, což může mít za následek přistání letadla před startem dráhy.
Video ukazuje jinak zmanipulovaný signál, který by mohl představovat hrozbu pro letadlo přicházející na přistání. Útočník může poslat signál pilotovi, že jeho letadlo je nalevo od osy přistávací dráhy, i když ve skutečnosti je letadlo přesně vystředěno. Pilot zareaguje tahem letadla doprava, což nakonec způsobí jeho unášení do strany.
Výzkumníci z Northeastern University v Bostonu konzultovali s pilotem a bezpečnostním expertem a pozorně si všimli, že takové falšování signálu ve většině případů pravděpodobně nepovede k havárii. Poruchy CGS jsou známým bezpečnostním rizikem a zkušení piloti absolvují rozsáhlé školení, jak na ně reagovat. Za jasného počasí si pilot snadno všimne, že letadlo není zarovnané se středovou osou přistávací dráhy, a bude moci oběhnout.
Dalším důvodem rozumné skepse je obtížnost provedení útoku. Kromě programovatelné radiostanice budou potřeba směrové antény a zesilovač. Všechno toto vybavení by bylo docela obtížné propašovat do letadla, pokud by hacker chtěl zahájit útok z letadla. Pokud se rozhodne zaútočit ze země, dá hodně práce seřadit vybavení s přistávací dráhou, aniž by vzbudilo pozornost. Kromě toho letiště obvykle monitorují rušení na citlivých frekvencích, což by mohlo znamenat zastavení útoku brzy po jeho zahájení.
V roce 2012 výzkumník Brad Haynes, známý jako , v systému ADS-B (Automatic Dependent Surveillance-Broadcast), který letadla používají k určení své polohy a přenosu dat do jiných letadel. Shrnul obtíže skutečného falšování signálů CGS takto:
Pokud se vše sejde – umístění, skryté vybavení, špatné povětrnostní podmínky, vhodný cíl, dobře motivovaný, chytrý a finančně vybavený útočník – co se stane? V nejhorším případě letadlo přistane na trávě a může dojít ke zranění nebo smrti, ale bezpečná konstrukce letadla a týmy rychlé reakce zajišťují, že existuje velmi malá šance na obrovský požár, který by měl za následek ztrátu celého letadla. V takovém případě bude přistání pozastaveno a útočník to již nebude moci opakovat. V nejlepším případě si pilot všimne nesrovnalosti, ušpiní si kalhoty, zvýší výšku, obejde a oznámí, že s CGS není něco v pořádku – letiště zahájí vyšetřování, což znamená, že útočník už nebude chtít zůstat poblíž.
Pokud se tedy vše sejde, výsledek bude minimální. Porovnejte to s poměrem návratnosti investic a ekonomickým dopadem jednoho idiota s dronem za 1000 dolarů létajícím dva dny kolem letiště Heathrow. Dron byl rozhodně účinnější a proveditelnější variantou než takový útok.
Přesto výzkumníci tvrdí, že existují rizika: letadla, která nepřistanou na sestupové dráze – pomyslné linii, kterou letadlo sleduje během dokonalého přistání – je mnohem těžší odhalit, a to i za dobrého počasí. Některá frekventovaná letiště navíc, aby se předešlo zpožděním, instruují letadla, aby se nehrnula do nezdařeného přiblížení, a to ani za podmínek špatné viditelnosti. pokyny pro přistání od amerického Federálního úřadu pro letectví, kterými se řídí mnoho amerických letišť, naznačují, že takové rozhodnutí by mělo být učiněno ve výšce pouhých 15 m. Podobné pokyny platí v Evropě. Nechávají pilotovi velmi málo času na bezpečné přerušení přistání, pokud se vizuální okolní podmínky neshodují s údaji z CGS.
"Detekce a zotavení z jakéhokoli selhání přístroje během kritických přistávacích procedur je jedním z nejnáročnějších úkolů v moderním letectví," napsali vědci ve svém článku. s názvem „Bezdrátové útoky na systémy sestupových drah letadel“, přijaté v . "Vzhledem k tomu, jak silně se piloti spoléhají na CGS a nástroje obecně, selhání a zlomyslné rušení mohou mít katastrofální následky, zejména během autonomního přiblížení a letových operací."
Co se stane s poruchami KGS
Několik přistání téměř ke katastrofě ukazuje nebezpečí selhání CGS. V roce 2011 se let Singapore Airlines SQ327 se 143 cestujícími a 15 členy posádky na palubě náhle naklonil doleva, zatímco 10 metrů nad přistávací dráhou na letišti v Mnichově v Německu. Boeing 777-300 se po přistání stočil doleva, poté zabočil doprava, překročil středovou čáru a zastavil se s podvozkem v trávě vpravo od ranveje.
В o incidentu, zveřejněném německou Spolkovou komisí pro vyšetřování leteckých nehod, se píše, že letadlo minulo bod přistání o 500 m. Vyšetřovatelé uvedli, že jedním z viníků incidentu bylo zkreslení signálů přistávacího majáku lokalizátoru tím, že mimo letadlo. Přestože nebyly hlášeny žádné oběti, událost podtrhla závažnost selhání systémů CGS. Mezi další incidenty se selháním CGS, které málem skončily tragicky, patří novozélandský let NZ 60 v roce 2000 a let Ryanairu FR3531 v roce 2013. Video vysvětluje, co se v druhém případě pokazilo.
Vaibhab Sharma řídí globální operace bezpečnostní společnosti ze Silicon Valley a od roku 2006 létá na malých letadlech. Má také průkaz amatérského operátora spojů a je dobrovolným členem Civilní letecké hlídky, kde se vyučil jako plavčík a radista. Řídí letadlo v simulátoru X-Plane a předvádí útok falšování signálu, který způsobí, že letadlo přistane napravo od ranveje.
Sharma nám řekl:
Takový útok na CGS je realistický, ale jeho účinnost bude záviset na kombinaci faktorů, včetně útočníkovy znalosti systémů letecké navigace a podmínek přiblížení. Při správném použití bude útočník schopen odklonit letadlo směrem k překážkám obklopujícím letiště, a pokud se tak stane za podmínek špatné viditelnosti, bude pro pilotní tým velmi obtížné odchylky odhalit a vypořádat se s nimi.
Řekl, že útoky mají potenciál ohrozit jak malá letadla, tak velká proudová letadla, ale z různých důvodů. Malá letadla létají nižší rychlostí. To dává pilotům čas na reakci. Velké tryskáče mají na druhou stranu k dispozici více členů posádky, kteří mohou reagovat na nepříznivé události, a jejich piloti obvykle absolvují častější a přísnější výcvik.
Řekl, že nejdůležitější pro velká i malá letadla bude při přistání posoudit okolní podmínky, zejména počasí.
"Takový útok bude pravděpodobně efektivnější, když se piloti budou muset více spoléhat na přístroje, aby provedli úspěšné přistání," řekl Sharma. "Může to být noční přistání za podmínek špatné viditelnosti nebo kombinace špatných podmínek a přetíženého vzdušného prostoru, který vyžaduje, aby piloti byli více zaneprázdněni, takže jsou silně závislí na automatizaci."
Aanjan Ranganathan, výzkumník z Northeastern University, který pomáhal s vývojem útoku, nám řekl, že pokud CGS selže, na GPS se nelze spolehnout. Odchylky od ranveje při efektivním falešném útoku se budou pohybovat od 10 do 15 metrů, protože cokoliv většího bude viditelné pro piloty a řídící letového provozu. GPS bude mít velké potíže s odhalováním takových odchylek. Druhým důvodem je, že je velmi snadné podvrhnout signály GPS.
"Mohu podvrhnout GPS paralelně s podvržením CGS," řekl Ranganathan. "Celá otázka je míra motivace útočníka."
Předchůdce KGS
Testy KGS začaly , a první funkční systém byl nasazen v roce 1932 na německém letišti Berlín-Tempelhof.
KGS zůstává jedním z nejúčinnějších přistávacích systémů. Jiné přístupy, např. , lokalizační maják, globální navigační systém a podobné satelitní navigační systémy jsou považovány za nepřesné, protože poskytují pouze horizontální nebo boční orientaci. KGS je považován za přesný systém setkání, protože poskytuje horizontální i vertikální (sestupovou dráhu) orientaci. V posledních letech se nepřesné systémy používají stále méně. CGS byl stále více spojován s autopiloty a systémy automatického přistání.
Jak CGS funguje: lokalizér [localizer], sestupová dráha [glideslope] a značkovací majáky [marker beacon]
ČGS má dvě klíčové složky. Lokalizátor sděluje pilotovi, zda je letadlo odsazeno vlevo nebo vpravo od osy dráhy, a sklon klouzání říká pilotovi, zda je úhel klesání příliš vysoký na to, aby letadlo minulo začátek dráhy. Třetí složkou jsou značkovací majáky. Fungují jako značky, které umožňují pilotovi určit vzdálenost k přistávací dráze. V průběhu let byly stále častěji nahrazovány GPS a dalšími technologiemi.
Lokalizátor používá dvě sady antén, které vyzařují dvě různé výšky zvuku – jednu na 90 Hz a druhou na 150 Hz – a na frekvenci přiřazené jedné z přistávacích drah. Anténní pole jsou umístěna na obou stranách dráhy, obvykle za bodem vzletu, takže zvuky se ruší, když se přistávající letadlo nachází přímo nad osou dráhy. Indikátor odchylky ukazuje svislou čáru uprostřed.
Pokud se letadlo otočí doprava, zvuk 150 Hz je stále slyšitelnější, což způsobí, že se ukazatel odchylky posune doleva od středu. Pokud se letadlo otočí doleva, zvuk 90 Hz se stane slyšitelným a ukazatel se přesune doprava. Lokalizátor samozřejmě nemůže zcela nahradit vizuální kontrolu polohy letadla, poskytuje klíčový a velmi intuitivní prostředek orientace. Piloti jednoduše potřebují držet ukazatel vycentrovaný, aby udrželi rovinu přesně nad středovou osou.
Sestupový svah funguje zhruba stejně, jen ukazuje úhel klesání letadla vzhledem k začátku přistávací dráhy. Když je úhel letadla příliš nízký, je slyšet zvuk 90 Hz a přístroje indikují, že by letadlo mělo klesat. Když je klesání příliš ostré, signál o frekvenci 150 Hz signalizuje, že letadlo musí letět výše. Když letadlo zůstane v předepsaném úhlu sestupové dráhy přibližně tři stupně, signály se zruší. Dvě sestupové antény jsou umístěny na věži v určité výšce, určené úhlem sestupové dráhy vhodným pro konkrétní letiště. Věž je obvykle umístěna v blízkosti oblasti dotyku pásu.
Perfektní fake
Útok vědců z Northeastern University využívá komerčně dostupné softwarové rádiové vysílače. Tato zařízení, prodávaná za 400 až 600 USD, vysílají signály, které předstírají, že jsou skutečné signály vysílané letištním SSC. Vysílač útočníka může být umístěn jak na palubě napadeného letadla, tak na zemi, ve vzdálenosti až 5 km od letiště. Dokud signál útočníka převyšuje sílu skutečného signálu, bude přijímač KGS vnímat útočníkův signál a demonstrovat orientaci vzhledem k vertikální a horizontální dráze letu plánované útočníkem.
Pokud je výměna špatně zorganizována, pilot uvidí náhlé nebo nevyzpytatelné změny v údajích přístrojů, které bude mylně považovat za poruchu CGS. Aby byl padělek obtížnější rozpoznat, může útočník objasnit přesnou polohu letadla, které používá , systém, který každou sekundu přenáší GPS polohu letadla, nadmořskou výšku, pozemní rychlost a další data pozemním stanicím a dalším plavidlům.
Pomocí této informace může útočník začít falšovat signál, když se přibližující letadlo pohne doleva nebo doprava vzhledem k přistávací dráze, a poslat útočníkovi signál, že letadlo postupuje na úroveň. Optimální čas k útoku by byl, když letadlo právě minulo traťový bod, jak ukazuje ukázkové video na začátku článku.
Útočník pak může použít algoritmus pro korekci a generování signálu v reálném čase, který bude neustále upravovat škodlivý signál, aby zajistil, že posun od správné dráhy bude konzistentní se všemi pohyby letadla. I když útočníkovi chybí dovednost vytvořit dokonalý falešný signál, může CGS zmást natolik, že se na něj pilot nemůže spolehnout, že přistane.
Jedna varianta falšování signálu je známá jako „útok stínování“. Útočník vysílá speciálně připravené signály o síle větší než signály z letištního vysílače. Vysílač útočníka by k tomu obvykle potřeboval poslat 20 wattů energie. Stínové útoky usnadňují přesvědčivé zfalšování signálu.
Stínový útok
Druhá možnost pro nahrazení signálu je známá jako „útok jedním tónem“. Jeho výhodou je, že je možné posílat zvuk o stejné frekvenci s výkonem menším než má letištní KGS. Má to více nevýhod, útočník například potřebuje znát přesně specifika letadla – například umístění jeho CGS antén.
Jednotónový útok
Žádná snadná řešení
Vědci tvrdí, že zatím neexistuje žádný způsob, jak eliminovat hrozbu útoků spoofingu. Alternativní navigační technologie – včetně všesměrového azimutového majáku, lokalizačního majáku, globálního polohového systému a podobných satelitních navigačních systémů – jsou bezdrátové signály, které nemají ověřovací mechanismus, a proto jsou náchylné k útokům falšování. Kromě toho pouze KGS a GPS mohou poskytnout informace o horizontální a vertikální trajektorii přiblížení.
Ve své práci vědci píší:
Většina bezpečnostních problémů, kterým čelí technologie jako např , и , lze opravit zavedením kryptografie. K zabránění lokalizačním útokům však kryptografie stačit nebude. Například šifrování signálu GPS, podobné vojenské navigační technologii, může do jisté míry zabránit útokům typu spoofing. Útočník však bude moci přesměrovat signály GPS s potřebnými časovými prodlevami a dosáhnout substituce polohy nebo času. Inspiraci lze čerpat z existující literatury o zmírňování útoků spoofingu GPS a vytváření podobných systémů na straně přijímače. Alternativou by bylo zavést rozsáhlý bezpečný lokalizační systém založený na limitech vzdálenosti a bezpečných technikách potvrzení blízkosti. To by však vyžadovalo obousměrnou komunikaci a vyžaduje další studium týkající se škálovatelnosti, proveditelnosti atd.
Americký Federální úřad pro letectví uvedl, že nemá dostatek informací o demonstraci výzkumníků, aby se vyjádřil.
Tento útok a značné množství provedených výzkumů jsou působivé, ale hlavní otázka práce zůstává nezodpovězena: jaká je pravděpodobnost, že by byl někdo skutečně ochoten provést takový útok? Jiné typy zranitelností, jako jsou ty, které hackerům umožňují vzdáleně instalovat malware do počítačů uživatelů nebo obejít oblíbené šifrovací systémy, lze snadno zpeněžit. To není případ CGS spoofing útoku. Do této kategorie spadají i životu nebezpečné útoky na kardiostimulátory a další zdravotnická zařízení.
I když motivaci takových útoků je těžší vidět, bylo by chybou jejich možnost zavrhnout. V , kterou v květnu zveřejnila C4ADS, nezisková organizace zabývající se globálními konflikty a mezistátní bezpečností, zjistila, že Ruská federace se často zapojovala do rozsáhlého testování poruch systému GPS, které způsobilo, že navigační systémy lodí byly mimo trať o 65 mil nebo více [zpráva ve skutečnosti říká, že během otevírání krymského mostu (tedy ne „často“, ale pouze jednou) byl globální navigační systém sražen vysílačem umístěným na tomto mostě a jeho práce byla cítit i blízko Anapa, která se nachází 65 km (ne míle) od tohoto místa. „A tak je všechno pravda“ (c) / cca. překlad].
„Ruská federace má komparativní výhodu ve využívání a rozvoji schopností oklamat globální navigační systémy,“ varuje zpráva. "Nízká cena, otevřená dostupnost a snadné použití takových technologií však poskytují nejen státům, ale také povstalcům, teroristům a zločincům dostatek příležitostí k destabilizaci státních a nestátních sítí."
A i když se CGS spoofing zdá v roce 2019 esoterický, je stěží přitažené za vlasy myslet si, že se v nadcházejících letech stane běžnějším, protože útočné technologie budou lépe pochopeny a softwarově řízené rádiové vysílače budou běžnější. Útoky na CGS není nutné provádět, aby způsobily nehody. Mohou být použity k rušení letišť způsobem, jakým nelegální drony způsobily uzavření londýnského letiště Gatwick loni v prosinci, pár dní před Vánocemi, a letiště Heathrow o tři týdny později.
"Peníze jsou jedna motivace, ale projev moci je druhá," řekl Ranganathan. – Z obranného hlediska jsou tyto útoky velmi kritické. O to je třeba se postarat, protože na tomto světě bude dost lidí, kteří budou chtít ukázat sílu.“
Zdroj: www.habr.com