Signalet, som fly bruger til at finde en landingsbane, kan forfalskes med en walkie-talkie til $600.
Et fly, der demonstrerer et angreb på en radio på grund af falske signaler. lander til højre for landingsbanen
Næsten alle fly, der har fløjet i de sidste 50 år - det være sig en enmotors Cessna eller en 600-sæders jumbojet - har været afhængig af radioer for at lande sikkert i lufthavne. Disse instrumentlandingssystemer (ILS) betragtes som præcisionsindflyvningssystemer, fordi de i modsætning til GPS og andre navigationssystemer giver vital realtidsinformation om flyets horisontale orientering i forhold til dets landingsposition, stribe og lodret nedstigningsvinkel. Under mange forhold - især ved landing i tåge eller regn om natten - er denne radionavigation fortsat den vigtigste måde at sikre, at flyet lander i starten af landingsbanen og præcis i midten.
Som mange andre teknologier skabt i fortiden, gav KGS ikke beskyttelse mod hacking. Radiosignaler er ikke krypteret, og deres ægthed kan ikke verificeres. Piloter antager blot, at de lydsignaler, som deres systemer modtager på lufthavnens tildelte frekvens, er rigtige signaler, der udsendes af lufthavnsoperatøren. I mange år forblev denne sikkerhedsfejl ubemærket, hovedsagelig fordi omkostningerne og vanskeligheden ved signalspoofing gjorde angreb meningsløse.
Men nu har forskere udviklet en billig hackingmetode, der rejser spørgsmål om sikkerheden af de CGS, der bruges i stort set alle civile lufthavne i den industrielle verden. Bruger en radio til $600 , kan forskere forfalske lufthavnssignaler, så pilotens navigationsinstrumenter indikerer, at flyet er ude af kurs. Ifølge uddannelse skal piloten korrigere nedstigningshastigheden eller fartøjets indstilling og derved skabe risiko for en ulykke.
En angrebsteknik er at falske signaler om, at nedstigningsvinklen er mindre, end den i virkeligheden er. Den forfalskede besked indeholder den såkaldte Et "take down"-signal, der informerer piloten om at øge nedstigningsvinklen, hvilket muligvis resulterer i, at flyet lander før start af landingsbanen.
Videoen viser et ellers manipuleret signal, der kan udgøre en trussel mod et fly, der kommer ind for at lande. En angriber kan sende et signal, der fortæller piloten, at hans fly er til venstre for startbanens midterlinje, mens flyet faktisk er nøjagtigt centreret. Piloten vil reagere ved at trække flyet til højre, hvilket til sidst vil få det til at drive til siden.
Forskere fra Northeastern University i Boston rådførte sig med en pilot og en sikkerhedsekspert og er omhyggelige med at bemærke, at en sådan signalspoofing sandsynligvis ikke vil føre til et styrt i de fleste tilfælde. CGS-fejl er en kendt sikkerhedsrisiko, og erfarne piloter modtager omfattende træning i, hvordan de skal reagere på dem. I klart vejr vil det være let for en pilot at bemærke, at flyet ikke er på linje med startbanens midterlinje, og han vil være i stand til at gå rundt.
En anden grund til rimelig skepsis er vanskeligheden ved at udføre angrebet. Ud over en programmerbar radiostation vil der kræves retningsbestemte antenner og en forstærker. Alt dette udstyr ville være ret svært at smugle ind i et fly, hvis en hacker ville iværksætte et angreb fra flyet. Hvis han beslutter sig for at angribe fra jorden, vil det kræve meget arbejde at stille udstyret op med landingsbanen uden at vække opmærksomhed. Desuden overvåger lufthavne typisk for interferens på følsomme frekvenser, hvilket kan betyde, at et angreb stoppes kort efter, det begynder.
I 2012 forsker Brad Haynes, kendt som , i ADS-B-systemet (Automatic Dependent Surveillance-Broadcast), som fly bruger til at bestemme deres placering og overføre data til andre fly. Han opsummerede vanskelighederne ved faktisk at spoofe CGS-signaler som følger:
Hvis alt hænger sammen - placering, skjult udstyr, dårlige vejrforhold, et passende mål, en velmotiveret, smart og økonomisk bemyndiget angriber - hvad sker der? I værste fald lander flyet på græsset, og skade eller død er mulig, men sikkert flydesign og hurtige reaktionshold sikrer, at der er meget lille chance for, at en enorm brand resulterer i tab af hele flyet. I et sådant tilfælde vil landingen blive suspenderet, og angriberen vil ikke længere være i stand til at gentage dette. I bedste tilfælde vil piloten bemærke uoverensstemmelsen, plette sine bukser, øge højden, gå rundt og rapportere, at der er noget galt med CGS - lufthavnen vil begynde en undersøgelse, hvilket betyder, at angriberen ikke længere vil ophold i nærheden.
Så hvis alt kommer sammen, vil resultatet være minimalt. Sammenlign dette med afkast-til-investering-forholdet og den økonomiske virkning af en idiot med en $1000 drone, der flyver rundt i Heathrow Lufthavn i to dage. En drone var bestemt en mere effektiv og brugbar mulighed end et sådant angreb.
Alligevel siger forskere, at der er risici.Fly, der ikke lander inden for glidebanen - den imaginære linje, som et fly følger under en perfekt landing - er meget sværere at opdage, selv i godt vejr. Desuden instruerer nogle travle lufthavne, for at undgå forsinkelser, fly om ikke at skynde sig ind i en afbrudt tilgang, selv under dårlige sigtbarhedsforhold. landingsvejledninger fra US Federal Aviation Administration, som mange amerikanske lufthavne følger, indikerer, at en sådan beslutning bør træffes i en højde af kun 15 m. Lignende instruktioner gælder i Europa. De giver piloten meget lidt tid til sikkert at afbryde landingen, hvis de visuelle omgivende forhold ikke falder sammen med dataene fra CGS.
"At opdage og komme sig efter ethvert instrumentfejl under kritiske landingsprocedurer er en af de mest udfordrende opgaver i moderne luftfart," skrev forskerne i deres papir. med titlen "Trådløse angreb på flys glidebanesystemer", vedtaget kl . "I betragtning af hvor meget piloter er afhængige af CGS og instrumenter generelt, kan fejl og ondsindet interferens have katastrofale konsekvenser, især under autonom indflyvning og flyveoperationer."
Hvad sker der med KGS-fejl
Adskillige næsten-katastrofelandinger viser farerne ved CGS-fejl. I 2011 bankede Singapore Airlines flight SQ327, med 143 passagerer og 15 besætningsmedlemmer om bord, pludselig til venstre, mens de var 10 meter over landingsbanen i München Lufthavn i Tyskland. Efter landing svingede Boeing 777-300 til venstre, drejede derefter til højre, krydsede midterlinjen og kom til hvile med landingsstellet i græsset til højre for landingsbanen.
В om hændelsen, offentliggjort af den tyske føderale flyhavarikommission, er det skrevet, at flyet missede landingspunktet med 500 m. Efterforskere sagde, at en af synderne i hændelsen var forvrængning af lokalisatorens landingsbeacon-signaler ved at tage ud af flyet. Selvom der ikke blev rapporteret om tilskadekomne, understregede begivenheden alvoren af fejlen i CGS-systemerne. Andre hændelser med CGS-fejl, der næsten endte tragisk, omfatter New Zealand-flyvning NZ 60 i 2000 og Ryanair-flyvning FR3531 i 2013. Videoen forklarer, hvad der gik galt i sidstnævnte tilfælde.
Vaibhab Sharma driver Silicon Valley-sikkerhedsfirmaets globale operationer og har fløjet med små fly siden 2006. Han har også et amatørkommunikationsoperatørcertifikat og er frivilligt medlem af Civil Air Patrol, hvor han blev uddannet som livredder og radiooperatør. Han flyver et fly i X-Plane-simulatoren og demonstrerer et signal-spoofing-angreb, der får flyet til at lande til højre for landingsbanen.
Sharma fortalte os:
Et sådant angreb på CGS er realistisk, men dets effektivitet vil afhænge af en kombination af faktorer, herunder angriberens viden om luftnavigationssystemer og forhold ved indflyvning. Hvis den bruges rigtigt, vil en angriber være i stand til at omdirigere flyet mod forhindringer omkring lufthavnen, og hvis det gøres under dårlige sigtbare forhold, vil det være meget svært for pilotholdet at opdage og håndtere afvigelser.
Han sagde, at angrebene har potentiale til at true både små fly og store jetfly, men af forskellige årsager. Små fly rejser med lavere hastigheder. Dette giver piloterne tid til at reagere. Store jetfly har på den anden side flere besætningsmedlemmer til rådighed til at reagere på uønskede hændelser, og deres piloter modtager typisk hyppigere og strengere træning.
Han sagde, at det vigtigste for store og små fly vil være at vurdere de omgivende forhold, især vejret, under landing.
"Et angreb som dette vil sandsynligvis være mere effektivt, når piloterne er nødt til at stole mere på instrumenterne for at lave en vellykket landing," sagde Sharma. "Dette kan være natlandinger under dårlige sigtforhold eller en kombination af dårlige forhold og overbelastet luftrum, der kræver, at piloter har mere travlt, hvilket gør dem stærkt afhængige af automatisering."
Aanjan Ranganathan, en forsker ved Northeastern University, der hjalp med at udvikle angrebet, fortalte os, at der ikke er meget at stole på, at GPS kan hjælpe dig med, hvis CGS fejler. Afvigelser fra landingsbanen i et effektivt spoof-angreb vil variere fra 10 til 15 meter, da alt større vil være synligt for piloter og flyveledere. GPS vil have meget svært ved at opdage sådanne afvigelser. Den anden grund er, at det er meget nemt at forfalske GPS-signaler.
"Jeg kan spoofe GPS'en parallelt med spoofing af CGS," sagde Ranganathan. "Hele spørgsmålet er graden af motivation af angriberen."
Forgænger for KGS
KGS test er begyndt , og det første fungerende system blev indsat i 1932 i den tyske lufthavn Berlin-Tempelhof.
KGS er fortsat et af de mest effektive landingssystemer. Andre tilgange, f.eks. , locator beacon, global positioning system og lignende satellitnavigationssystemer betragtes som unøjagtige, fordi de kun giver horisontal eller lateral orientering. KGS anses for at være et nøjagtigt rendezvous-system, da det giver både vandret og lodret (glidebane) orientering. I de senere år er unøjagtige systemer blevet brugt mindre og mindre. CGS blev i stigende grad forbundet med autopiloter og autolandingssystemer.
Sådan fungerer CGS: lokalisering [localizer], glide slope [glideslope] og markør beacons [marker beacon]
CGS har to nøglekomponenter. Lokalisatoren fortæller piloten, om flyet er forskudt til venstre eller højre for startbanens midterlinje, og glidehældningen fortæller piloten, om nedstigningsvinklen er for høj til, at flyet kan misse starten af landingsbanen. Den tredje komponent er markørbeacons. De fungerer som markører, der gør det muligt for piloten at bestemme afstanden til landingsbanen. Gennem årene er de i stigende grad blevet erstattet af GPS og andre teknologier.
Lokalizeren bruger to sæt antenner, der udsender to forskellige tonehøjder af lyd - den ene ved 90 Hz og den anden ved 150 Hz - og ved en frekvens, der er tildelt en af landingsstrimlerne. Antennearrays er placeret på begge sider af banen, normalt efter startpunktet, så lydene ophører, når det landende fly er placeret direkte over banens midterlinje. Afvigelsesindikatoren viser en lodret linje i midten.
Hvis flyet svinger til højre, bliver 150 Hz lyden mere og mere hørbar, hvilket får afvigelsesindikatoren til at flytte til venstre for midten. Hvis flyet svinger til venstre, bliver 90 Hz lyden hørbar, og markøren bevæger sig til højre. En lokalisator kan naturligvis ikke helt erstatte visuel kontrol af et flys holdning, den giver et centralt og meget intuitivt middel til orientering. Piloter skal simpelthen holde markøren centreret for at holde flyet nøjagtigt over midterlinjen.
Glidehældningen fungerer stort set på samme måde, kun den viser flyets nedstigningsvinkel i forhold til starten af landingsbanen. Når flyets vinkel er for lav, bliver 90 Hz lyden hørbar, og instrumenterne indikerer, at flyet skal ned. Når nedstigningen er for skarp, indikerer et signal ved 150 Hz, at flyet skal flyve højere. Når flyet forbliver i den foreskrevne glidebanevinkel på cirka tre grader, udgår signalerne. To glidebaneantenner er placeret på tårnet i en bestemt højde, bestemt af glideskråningsvinklen, der passer til en bestemt lufthavn. Tårnet er normalt placeret tæt på det bånd, der berører området.
Perfekt falsk
Northeastern University-forskernes angreb bruger kommercielt tilgængelige softwareradiosendere. Disse enheder, der sælges for $400-$600, transmitterer signaler, der foregiver at være rigtige signaler sendt af lufthavnens SSC. Angriberens sender kan placeres både om bord på det angrebne fly og på jorden i en afstand på op til 5 km fra lufthavnen. Så længe angriberens signal overstiger styrken af det rigtige signal, vil KGS-modtageren opfatte angriberens signal og demonstrere orienteringen i forhold til den lodrette og vandrette flyvevej planlagt af angriberen.
Hvis udskiftningen er dårligt organiseret, vil piloten se pludselige eller uregelmæssige ændringer i instrumentaflæsninger, som han vil forveksle med en funktionsfejl i CGS. For at gøre det falske mere vanskeligt at genkende, kan en angriber afklare den nøjagtige placering af flyet ved hjælp af , et system, der hvert sekund sender et flys GPS-placering, højde, jordhastighed og andre data til jordstationer og andre fartøjer.
Ved at bruge denne information kan en angriber begynde at forfalske signalet, når et nærgående fly har bevæget sig til venstre eller højre i forhold til landingsbanen, og sende et signal til angriberen om, at flyet fortsætter i niveau. Det optimale tidspunkt at angribe vil være, når flyet lige har passeret waypointet, som vist i demonstrationsvideoen i begyndelsen af artiklen.
Angriberen kan derefter anvende en signalkorrektion og -genereringsalgoritme i realtid, som løbende justerer det ondsindede signal for at sikre, at forskydningen fra den korrekte sti stemmer overens med alle flyets bevægelser. Selvom angriberen mangler evnen til at lave et perfekt falsk signal, kan han forvirre CGS så meget, at piloten ikke kan stole på, at den lander.
En variant af signalspoofing er kendt som et "skyggeangreb". Angriberen sender specielt forberedte signaler med en styrke, der er større end signalerne fra lufthavnssenderen. En angribers sender vil typisk skulle sende 20 watt strøm for at gøre dette. Skyggeangreb gør det lettere at forfalske et signal på overbevisende vis.
Skyggeangreb
Den anden mulighed for at erstatte et signal er kendt som et "one-tone angreb." Dens fordel er, at det er muligt at sende lyd af samme frekvens med en effekt, der er mindre end lufthavnens KGS. Det har flere ulemper, for eksempel skal angriberen kende nøjagtigt flyets specifikationer - for eksempel placeringen af dets CGS-antenner.
Enkelt toneangreb
Ingen nemme løsninger
Forskere siger, at der endnu ikke er nogen måde at eliminere truslen om spoofing-angreb. Alternative navigationsteknologier – herunder rundstrålende azimut-beacon, locator-beacon, globalt positioneringssystem og lignende satellitnavigationssystemer – er trådløse signaler, der ikke har en godkendelsesmekanisme og derfor er modtagelige for spoofing-angreb. Desuden er det kun KGS og GPS, der kan give information om den horisontale og vertikale indflyvningsbane.
I deres arbejde skriver forskerne:
De fleste af de sikkerhedsproblemer, som teknologier som f.eks , и , kan rettes ved at indføre kryptografi. Imidlertid vil kryptografi ikke være nok til at forhindre lokaliseringsangreb. For eksempel kan GPS-signalkryptering, svarende til militær navigationsteknologi, i et vist omfang forhindre spoofingangreb. Alligevel vil angriberen være i stand til at omdirigere GPS-signaler med de tidsforsinkelser, han har brug for, og opnå placering eller tidssubstitution. Inspiration kan hentes fra eksisterende litteratur om at afbøde GPS-spoofing-angreb og skabe lignende systemer i modtagerenden. Et alternativ ville være at implementere et storstilet sikkert lokaliseringssystem baseret på afstandsgrænser og sikre teknikker til bekræftelse af nærhed. Dette ville dog kræve tovejskommunikation og kræver yderligere undersøgelser vedrørende skalerbarhed, gennemførlighed osv.
US Federal Aviation Administration sagde, at den ikke havde nok information om forskernes demonstration til at kommentere.
Dette angreb og den betydelige mængde forskning, der er blevet udført, er imponerende, men hovedspørgsmålet om arbejdet forbliver ubesvaret: Hvor sandsynligt er det, at nogen faktisk ville være villig til at gøre sig den ulejlighed at udføre et sådant angreb? Andre typer sårbarheder, såsom dem, der tillader hackere at fjerninstallere malware på brugernes computere eller omgå populære krypteringssystemer, er nemme at tjene penge på. Dette er ikke tilfældet med et CGS-spoofing-angreb. Livstruende angreb på pacemakere og andet medicinsk udstyr falder også ind under denne kategori.
Selvom motivationen for sådanne angreb er sværere at se, ville det være en fejl at afvise deres mulighed. I , udgivet i maj af C4ADS, en nonprofitorganisation, der dækker globale konflikter og mellemstatslig sikkerhed, fandt ud af, at Den Russiske Føderation ofte engagerede sig i storskala test af GPS-systemafbrydelser, der fik skibenes navigationssystemer til at være af sporet med 65 miles eller mere [faktisk siger rapporten, at under åbningen af Krim-broen (det vil sige ikke "ofte", men kun én gang), blev det globale navigationssystem væltet af en sender placeret på denne bro, og dets arbejde føltes endda i nærheden af Anapa, beliggende i 65 km (ikke miles) fra dette sted. “Og så er alt sandt” (c) / ca. oversættelse].
"Den Russiske Føderation har en komparativ fordel i at udnytte og udvikle kapaciteter til at bedrage globale navigationssystemer," advarer rapporten. "Men de lave omkostninger, åbne tilgængelighed og brugervenlighed af sådanne teknologier giver ikke kun stater, men også oprørere, terrorister og kriminelle rige muligheder for at destabilisere statslige og ikke-statslige netværk."
Og selvom CGS-spoofing virker esoterisk i 2019, er det næppe langt ude at tro, at det vil blive mere almindeligt i de kommende år, efterhånden som angrebsteknologier bliver bedre forstået, og software-kontrollerede radiosendere bliver mere almindelige. Angreb på CGS behøver ikke at udføres for at forårsage ulykker. De kan bruges til at forstyrre lufthavne på den måde, som ulovlige droner forårsagede lukningen af Londons Gatwick-lufthavn i december sidste år, et par dage før jul, og Heathrow-lufthavnen tre uger senere.
"Penge er én motivation, men magtudfoldelse er en anden," sagde Ranganathan. - Fra et defensivt synspunkt er disse angreb meget kritiske. Dette skal tages hånd om, for der vil være nok mennesker i denne verden, som vil vise styrke."
Kilde: www.habr.com