Das Signal, das Flugzeuge verwenden, um eine Landebahn zu finden, kann mit einem 600-Dollar-Walkie-Talkie gefälscht werden.
Ein Flugzeug demonstriert einen Angriff auf ein Funkgerät aufgrund gefälschter Signale. landet rechts von der Landebahn
Fast jedes Flugzeug, das in den letzten 50 Jahren geflogen ist – sei es eine einmotorige Cessna oder ein Jumbo-Jet mit 600 Sitzplätzen – war auf Funkgeräte angewiesen, um sicher auf Flughäfen zu landen. Diese Instrumentenlandesysteme (ILS) gelten als Präzisionsanflugsysteme, da sie im Gegensatz zu GPS und anderen Navigationssystemen wichtige Echtzeitinformationen über die horizontale Ausrichtung des Flugzeugs relativ zu seiner Landeposition, dem Streifen und dem vertikalen Sinkwinkel liefern. Unter vielen Bedingungen – insbesondere bei der Landung bei Nebel oder Regen in der Nacht – bleibt diese Funknavigation die wichtigste Möglichkeit, um sicherzustellen, dass das Flugzeug am Anfang der Landebahn und genau in der Mitte aufsetzt.
Wie viele andere in der Vergangenheit entwickelte Technologien bot KGS keinen Schutz vor Hackerangriffen. Funksignale werden nicht verschlüsselt und ihre Echtheit kann nicht überprüft werden. Piloten gehen einfach davon aus, dass es sich bei den Audiosignalen, die ihre Systeme auf der dem Flughafen zugewiesenen Frequenz empfangen, um echte, vom Flughafenbetreiber ausgestrahlte Signale handelt. Diese Sicherheitslücke blieb viele Jahre lang unbemerkt, vor allem weil die Kosten und die Schwierigkeit der Signalfälschung Angriffe sinnlos machten.
Nun haben Forscher jedoch eine kostengünstige Hacking-Methode entwickelt, die Fragen zur Sicherheit des CGS aufwirft, das auf praktisch jedem zivilen Flughafen in der Industriewelt eingesetzt wird. Mit einem 600-Dollar-Radio Forscher können Flughafensignale fälschen, sodass die Navigationsinstrumente des Piloten anzeigen, dass das Flugzeug vom Kurs abgekommen ist. Je nach Ausbildung muss der Lotse die Sinkgeschwindigkeit oder die Lage des Schiffes korrigieren, wodurch die Gefahr eines Unfalls entsteht.
Eine Angriffstechnik besteht darin, Signale vorzutäuschen, dass der Sinkwinkel geringer ist, als er tatsächlich ist. Die gefälschte Nachricht enthält das sogenannte Ein „Take Down“-Signal, das den Piloten darauf hinweist, den Sinkwinkel zu erhöhen, was möglicherweise dazu führt, dass das Flugzeug vor dem Start der Landebahn aufsetzt.
Das Video zeigt ein ansonsten manipuliertes Signal, das eine Gefahr für ein landendes Flugzeug darstellen könnte. Ein Angreifer kann ein Signal senden, das dem Piloten mitteilt, dass sich sein Flugzeug links von der Mittellinie der Landebahn befindet, obwohl das Flugzeug tatsächlich genau zentriert ist. Der Pilot reagiert, indem er das Flugzeug nach rechts zieht, was schließlich dazu führt, dass es zur Seite driftet.
Forscher der Northeastern University in Boston haben sich mit einem Piloten und einem Sicherheitsexperten beraten und stellen fest, dass eine solche Signalfälschung in den meisten Fällen wahrscheinlich nicht zu einem Absturz führt. CGS-Störungen stellen ein bekanntes Sicherheitsrisiko dar und erfahrene Piloten erhalten eine umfassende Schulung, wie sie darauf reagieren sollen. Bei klarem Wetter kann ein Pilot leicht bemerken, dass das Flugzeug nicht auf der Mittellinie der Landebahn ausgerichtet ist, und er kann umrunden.
Ein weiterer Grund für begründete Skepsis ist die Schwierigkeit, den Angriff durchzuführen. Neben einem programmierbaren Radiosender werden Richtantennen und ein Verstärker benötigt. Es wäre ziemlich schwierig, all diese Ausrüstung in ein Flugzeug zu schmuggeln, wenn ein Hacker vom Flugzeug aus einen Angriff starten wollte. Wenn er sich entscheidet, vom Boden aus anzugreifen, wird es viel Arbeit erfordern, die Ausrüstung unauffällig an der Landebahn auszurichten. Darüber hinaus überwachen Flughäfen in der Regel sensible Frequenzen auf Störungen, was bedeuten kann, dass ein Angriff kurz nach Beginn gestoppt wird.
Im Jahr 2012 veröffentlichte der Forscher Brad Haynes, bekannt als , im ADS-B-System (Automatic Dependent Surveillance-Broadcast), mit dem Flugzeuge ihren Standort bestimmen und Daten an andere Flugzeuge übermitteln. Er fasste die Schwierigkeiten, CGS-Signale tatsächlich zu fälschen, wie folgt zusammen:
Wenn alles zusammenkommt – Standort, versteckte Ausrüstung, schlechte Wetterbedingungen, ein geeignetes Ziel, ein gut motivierter, kluger und finanziell leistungsfähiger Angreifer – was passiert? Im schlimmsten Fall landet das Flugzeug im Gras und es besteht Verletzungs- oder Todesgefahr. Eine sichere Flugzeugkonstruktion und schnelle Reaktionsteams stellen jedoch sicher, dass die Wahrscheinlichkeit eines Großbrands, der zum Verlust des gesamten Flugzeugs führt, sehr gering ist. In einem solchen Fall wird die Landung unterbrochen und der Angreifer kann diese nicht mehr wiederholen. Im besten Fall wird der Pilot die Diskrepanz bemerken, sich die Hose beflecken, die Höhe erhöhen, herumfliegen und melden, dass mit dem CGS etwas nicht stimmt – der Flughafen wird eine Untersuchung einleiten, was bedeutet, dass der Angreifer dies nicht mehr tun möchte Bleiben Sie in der Nähe.
Wenn also alles zusammenpasst, wird das Ergebnis minimal sein. Vergleichen Sie dies mit dem Return-to-Investment-Verhältnis und den wirtschaftlichen Auswirkungen eines Idioten, der mit einer 1000-Dollar-Drohne zwei Tage lang um den Flughafen Heathrow fliegt. Sicherlich war eine Drohne eine effektivere und praktikablere Option als ein solcher Angriff.
Dennoch bestehen nach Ansicht der Forscher Risiken: Flugzeuge, die nicht innerhalb des Gleitpfads – der imaginären Linie, der ein Flugzeug bei einer perfekten Landung folgt – landen, sind selbst bei gutem Wetter viel schwerer zu erkennen. Darüber hinaus weisen einige stark frequentierte Flughäfen Flugzeuge an, selbst bei schlechten Sichtverhältnissen nicht in einen Fehlanflug zu geraten, um Verspätungen zu vermeiden. Die Landerichtlinien der US Federal Aviation Administration, an die sich viele US-Flughäfen halten, besagen, dass eine solche Entscheidung bereits in einer Höhe von 15 m getroffen werden sollte. Ähnliche Anweisungen gelten in Europa. Sie lassen dem Piloten nur sehr wenig Zeit, die Landung sicher abzubrechen, wenn die visuellen Umgebungsbedingungen nicht mit den Daten des CGS übereinstimmen.
„Das Erkennen und Beheben von Instrumentenausfällen bei kritischen Landevorgängen ist eine der anspruchsvollsten Aufgaben in der modernen Luftfahrt“, schreiben die Forscher in ihrer Arbeit. mit dem Titel „Drahtlose Angriffe auf Gleitpfadsysteme von Flugzeugen“, angenommen am . „Angesichts der Tatsache, wie stark Piloten auf CGS und Instrumente im Allgemeinen angewiesen sind, können Ausfälle und böswillige Eingriffe katastrophale Folgen haben, insbesondere beim autonomen Anflug und Flugbetrieb.“
Was passiert mit KGS-Ausfällen?
Mehrere Beinahe-Katastrophenlandungen verdeutlichen die Gefahren von CGS-Ausfällen. Im Jahr 2011 neigte sich der Singapore Airlines-Flug SQ327 mit 143 Passagieren und 15 Besatzungsmitgliedern an Bord plötzlich nach links, während er sich 10 Meter über der Landebahn des Flughafens München in Deutschland befand. Nach der Landung drehte die Boeing 777-300 nach links, dann nach rechts, überquerte die Mittellinie und kam mit dem Fahrwerk im Gras rechts von der Landebahn zum Stehen.
В Über den von der Bundeskommission für Flugunfalluntersuchungen veröffentlichten Vorfall heißt es, dass das Flugzeug den Landepunkt um 500 m verfehlte. Die Ermittler sagten, dass einer der Schuldigen an dem Vorfall die Verzerrung der Signale der Landungsbaken des Lokalisierers durch die Aufnahme war aus dem Flugzeug. Obwohl keine Verletzten gemeldet wurden, verdeutlichte das Ereignis die Schwere des Ausfalls der CGS-Systeme. Weitere Vorfälle mit CGS-Ausfällen, die fast tragisch endeten, sind der neuseeländische Flug NZ 60 im Jahr 2000 und der Ryanair-Flug FR3531 im Jahr 2013. Das Video erklärt, was im letzteren Fall schief gelaufen ist.
Vaibhab Sharma leitet die weltweiten Aktivitäten des Sicherheitsunternehmens aus dem Silicon Valley und fliegt seit 2006 Kleinflugzeuge. Er verfügt außerdem über eine Amateurkommunikationslizenz und ist ehrenamtliches Mitglied der Civil Air Patrol, wo er zum Rettungsschwimmer und Funker ausgebildet wurde. Er fliegt ein Flugzeug im X-Plane-Simulator und demonstriert einen Signal-Spoofing-Angriff, der dazu führt, dass das Flugzeug rechts von der Landebahn landet.
Sharma sagte uns:
Ein solcher Angriff auf das CGS ist realistisch, aber seine Wirksamkeit hängt von einer Kombination verschiedener Faktoren ab, einschließlich der Kenntnisse des Angreifers über Flugnavigationssysteme und Bedingungen beim Anflug. Bei richtiger Anwendung ist ein Angreifer in der Lage, das Flugzeug auf Hindernisse rund um den Flughafen umzulenken, und wenn dies bei schlechten Sichtverhältnissen geschieht, wird es für das Pilotenteam sehr schwierig sein, Abweichungen zu erkennen und zu bewältigen.
Er sagte, die Angriffe hätten das Potenzial, sowohl kleine Flugzeuge als auch große Jets zu bedrohen, allerdings aus unterschiedlichen Gründen. Kleine Flugzeuge fliegen mit geringerer Geschwindigkeit. Dies gibt den Piloten Zeit zum Reagieren. Große Jets hingegen verfügen über mehr Besatzungsmitglieder, die auf widrige Ereignisse reagieren können, und ihre Piloten erhalten in der Regel häufiger und strengere Schulungen.
Er sagte, das Wichtigste für große und kleine Flugzeuge werde sein, die Umgebungsbedingungen, insbesondere das Wetter, während der Landung einzuschätzen.
„Ein Angriff wie dieser ist wahrscheinlich effektiver, wenn sich die Piloten für eine erfolgreiche Landung stärker auf die Instrumente verlassen müssen“, sagte Sharma. „Dabei kann es sich um Nachtlandungen bei schlechten Sichtverhältnissen handeln oder um eine Kombination aus schlechten Bedingungen und überlastetem Luftraum, die eine höhere Auslastung der Piloten erfordert und sie stark auf Automatisierung angewiesen macht.“
Aanjan Ranganathan, ein Forscher an der Northeastern University, der an der Entwicklung des Angriffs mitgewirkt hat, sagte uns, dass man sich bei einem Ausfall des CGS kaum auf GPS als Hilfe verlassen könne. Die Abweichungen von der Landebahn betragen bei einem effektiven Täuschungsangriff 10 bis 15 Meter, da alles, was größer ist, für Piloten und Fluglotsen sichtbar ist. GPS wird solche Abweichungen nur schwer erkennen können. Der zweite Grund ist, dass es sehr einfach ist, GPS-Signale zu fälschen.
„Ich kann das GPS parallel zum CGS fälschen“, sagte Ranganathan. „Die ganze Frage ist der Grad der Motivation des Angreifers.“
Vorgänger der KGS
KGS-Tests haben begonnen , und das erste funktionierende System wurde 1932 auf dem deutschen Flughafen Berlin-Tempelhof eingesetzt.
KGS bleibt eines der effektivsten Landesysteme. Andere Ansätze, z.B. , Ortungsbaken, globale Positionierungssysteme und ähnliche Satellitennavigationssysteme gelten als ungenau, da sie nur eine horizontale oder seitliche Ausrichtung ermöglichen. Das KGS gilt als präzises Rendezvous-System, da es sowohl eine horizontale als auch eine vertikale (Gleitpfad-)Ausrichtung ermöglicht. In den letzten Jahren wurden immer weniger ungenaue Systeme eingesetzt. CGS wurde zunehmend mit Autopiloten und Autolandesystemen in Verbindung gebracht.
So funktioniert das CGS: Localizer [Localizer], Glide Slope [Glideslope] und Marker Beacons [Marker Beacon]
Das CGS besteht aus zwei Schlüsselkomponenten. Der Lokalisierer teilt dem Piloten mit, ob das Flugzeug nach links oder rechts von der Mittellinie der Landebahn versetzt ist, und der Gleitwinkel teilt dem Piloten mit, ob der Sinkwinkel zu hoch ist, als dass das Flugzeug den Start der Landebahn verfehlen könnte. Die dritte Komponente sind Markierungsbaken. Sie fungieren als Markierungen, die es dem Piloten ermöglichen, die Entfernung zur Landebahn zu bestimmen. Im Laufe der Jahre wurden sie zunehmend durch GPS und andere Technologien ersetzt.
Der Lokalisierer verwendet zwei Antennensätze, die zwei unterschiedliche Tonhöhen aussenden – einen mit 90 Hz und den anderen mit 150 Hz – und eine Frequenz, die einer der Landebahnen zugewiesen ist. Auf beiden Seiten der Landebahn, meist hinter dem Startpunkt, sind Antennenarrays angebracht, sodass sich die Geräusche auslöschen, wenn sich das landende Flugzeug direkt über der Mittellinie der Landebahn befindet. Der Abweichungsindikator zeigt eine vertikale Linie in der Mitte.
Wenn das Flugzeug nach rechts dreht, wird der 150-Hz-Ton zunehmend hörbar, was dazu führt, dass sich der Zeiger der Abweichungsanzeige nach links von der Mitte bewegt. Dreht das Flugzeug nach links, wird der 90-Hz-Ton hörbar und der Zeiger bewegt sich nach rechts. Natürlich kann ein Lokalisierer die visuelle Kontrolle der Fluglage eines Flugzeugs nicht vollständig ersetzen; er stellt ein wichtiges und sehr intuitives Mittel zur Orientierung dar. Piloten müssen lediglich den Zeiger zentriert halten, um das Flugzeug genau über der Mittellinie zu halten.
Der Gleitpfad funktioniert auf ähnliche Weise, nur dass er den Sinkwinkel des Flugzeugs relativ zum Beginn der Landebahn anzeigt. Wenn der Winkel des Flugzeugs zu niedrig ist, wird der 90-Hz-Ton hörbar und die Instrumente zeigen an, dass das Flugzeug sinken soll. Wenn der Sinkflug zu stark ist, zeigt ein Signal mit 150 Hz an, dass das Flugzeug höher fliegen muss. Wenn das Flugzeug im vorgeschriebenen Gleitpfadwinkel von etwa drei Grad bleibt, löschen sich die Signale aus. Auf dem Turm befinden sich zwei Gleitpfadantennen in einer bestimmten Höhe, die durch den für einen bestimmten Flughafen geeigneten Gleitpfadwinkel bestimmt wird. Der Turm befindet sich normalerweise in der Nähe des Bandberührungsbereichs.
Perfekte Fälschung
Der Angriff der Forscher der Northeastern University nutzt kommerziell erhältliche Software-Funksender. Diese Geräte, die für 400 bis 600 US-Dollar verkauft werden, senden Signale, die vorgeben, echte Signale zu sein, die vom SSC des Flughafens gesendet werden. Der Sender des Angreifers kann sich sowohl an Bord des angegriffenen Flugzeugs als auch am Boden in einer Entfernung von bis zu 5 km vom Flughafen befinden. Solange das Signal des Angreifers die Stärke des realen Signals übersteigt, wird der KGS-Empfänger das Signal des Angreifers wahrnehmen und die Ausrichtung relativ zur vom Angreifer geplanten vertikalen und horizontalen Flugbahn anzeigen.
Wenn der Austausch schlecht organisiert ist, wird der Pilot plötzliche oder unregelmäßige Änderungen der Instrumentenwerte feststellen, die er für eine Fehlfunktion des CGS hält. Um die Fälschung schwerer erkennbar zu machen, kann ein Angreifer mit Hilfe den genauen Standort des Flugzeugs klären , ein System, das jede Sekunde den GPS-Standort, die Höhe, die Bodengeschwindigkeit und andere Daten eines Flugzeugs an Bodenstationen und andere Schiffe überträgt.
Anhand dieser Informationen kann ein Angreifer beginnen, das Signal zu fälschen, wenn sich ein sich näherndes Flugzeug relativ zur Landebahn nach links oder rechts bewegt hat, und dem Angreifer ein Signal senden, dass sich das Flugzeug auf gleicher Höhe bewegt. Der optimale Zeitpunkt für einen Angriff wäre, wenn das Flugzeug gerade den Wegpunkt passiert hat, wie im Demonstrationsvideo am Anfang des Artikels gezeigt.
Der Angreifer kann dann einen Echtzeit-Signalkorrektur- und -generierungsalgorithmus anwenden, der das bösartige Signal kontinuierlich anpasst, um sicherzustellen, dass der Versatz vom korrekten Pfad mit allen Bewegungen des Flugzeugs übereinstimmt. Selbst wenn dem Angreifer die Fähigkeit fehlt, ein perfektes Fake-Signal zu geben, kann er das CGS so sehr verwirren, dass der Pilot sich bei der Landung nicht darauf verlassen kann.
Eine Variante des Signal-Spoofings ist als „Shadowing-Angriff“ bekannt. Der Angreifer sendet speziell vorbereitete Signale mit einer Leistung, die größer ist als die Signale des Flughafensenders. Der Sender eines Angreifers müsste dazu normalerweise 20 Watt Leistung senden. Shadowing-Angriffe machen es einfacher, ein Signal überzeugend zu fälschen.
Schattenangriff
Die zweite Möglichkeit, ein Signal zu ersetzen, wird als „One-Tone-Attack“ bezeichnet. Sein Vorteil besteht darin, dass es möglich ist, Schall derselben Frequenz mit einer geringeren Leistung als die des KGS des Flughafens zu senden. Es hat mehrere Nachteile, zum Beispiel muss der Angreifer die Besonderheiten des Flugzeugs genau kennen – zum Beispiel den Standort seiner CGS-Antennen.
Einzelton-Angriff
Keine einfachen Lösungen
Forscher sagen, dass es noch keine Möglichkeit gibt, die Bedrohung durch Spoofing-Angriffe zu beseitigen. Alternative Navigationstechnologien – darunter omnidirektionale Azimut-Beacons, Locator-Beacons, globale Positionierungssysteme und ähnliche Satellitennavigationssysteme – sind drahtlose Signale, die über keinen Authentifizierungsmechanismus verfügen und daher anfällig für Spoofing-Angriffe sind. Darüber hinaus können nur KGS und GPS Informationen über die horizontale und vertikale Anflugtrajektorie liefern.
In ihrer Arbeit schreiben die Forscher:
Die meisten Sicherheitsprobleme, mit denen Technologien wie z , и , kann durch Einführung der Kryptographie behoben werden. Allerdings wird die Kryptografie nicht ausreichen, um Lokalisierungsangriffe zu verhindern. Beispielsweise kann die Verschlüsselung des GPS-Signals, ähnlich der militärischen Navigationstechnologie, Spoofing-Angriffe bis zu einem gewissen Grad verhindern. Dennoch ist der Angreifer in der Lage, GPS-Signale mit den von ihm benötigten Zeitverzögerungen umzuleiten und einen Standort- oder Zeitersatz zu erreichen. Inspiration kann aus vorhandener Literatur zur Abwehr von GPS-Spoofing-Angriffen und zur Schaffung ähnlicher Systeme auf der Empfängerseite gewonnen werden. Eine Alternative wäre die Implementierung eines groß angelegten sicheren Lokalisierungssystems, das auf Entfernungsgrenzen und sicheren Techniken zur Bestätigung der Nähe basiert. Dies würde jedoch eine wechselseitige Kommunikation erfordern und weitere Untersuchungen hinsichtlich Skalierbarkeit, Machbarkeit usw. erfordern.
Die US-Luftfahrtbehörde Federal Aviation Administration sagte, sie verfüge nicht über genügend Informationen über die Demonstration der Forscher, um eine Stellungnahme abzugeben.
Dieser Angriff und die umfangreiche Recherche sind beeindruckend, doch die Hauptfrage der Arbeit bleibt unbeantwortet: Wie wahrscheinlich ist es, dass jemand tatsächlich bereit wäre, sich die Mühe zu machen, einen solchen Angriff durchzuführen? Andere Arten von Schwachstellen, beispielsweise solche, die es Hackern ermöglichen, aus der Ferne Malware auf den Computern der Benutzer zu installieren oder gängige Verschlüsselungssysteme zu umgehen, lassen sich leicht monetarisieren. Dies ist bei einem CGS-Spoofing-Angriff nicht der Fall. Auch lebensgefährliche Angriffe auf Herzschrittmacher und andere medizinische Geräte fallen in diese Kategorie.
Während die Motivation für solche Angriffe schwerer zu erkennen ist, wäre es ein Fehler, ihre Möglichkeit auszuschließen. IN , veröffentlicht im Mai von C4ADS, einer gemeinnützigen Organisation, die sich mit globalen Konflikten und zwischenstaatlicher Sicherheit befasst, stellte fest, dass die Russische Föderation häufig groß angelegte Tests von GPS-Systemstörungen durchführte, die dazu führten, dass die Navigationssysteme von Schiffen um 65 Meilen oder mehr vom Kurs abwichen [Tatsächlich heißt es in dem Bericht, dass während der Eröffnung der Krimbrücke (also nicht „oft“, sondern nur einmal) das globale Navigationssystem von einem auf dieser Brücke befindlichen Sender abgeschaltet wurde und seine Funktion sogar noch in der Nähe zu spüren war Anapa liegt 65 km (nicht Meilen) von diesem Ort entfernt. „Und so ist alles wahr“ (c) / ca. Übersetzung].
„Die Russische Föderation hat einen komparativen Vorteil bei der Nutzung und Entwicklung von Fähigkeiten zur Täuschung globaler Navigationssysteme“, warnt der Bericht. „Die geringen Kosten, die offene Verfügbarkeit und die Benutzerfreundlichkeit solcher Technologien bieten jedoch nicht nur Staaten, sondern auch Aufständischen, Terroristen und Kriminellen zahlreiche Möglichkeiten, staatliche und nichtstaatliche Netzwerke zu destabilisieren.“
Und auch wenn CGS-Spoofing im Jahr 2019 esoterisch erscheint, ist es kaum abwegig zu glauben, dass es in den kommenden Jahren häufiger vorkommen wird, da Angriffstechnologien besser verstanden werden und softwaregesteuerte Funksender häufiger vorkommen. Angriffe auf das CGS müssen nicht durchgeführt werden, um Unfälle zu verursachen. Sie können genutzt werden, um Flughäfen auf die gleiche Weise zu stören, wie illegale Drohnen im vergangenen Dezember, wenige Tage vor Weihnachten, die Schließung des Londoner Flughafens Gatwick und drei Wochen später des Flughafens Heathrow verursachten.
„Geld ist eine Motivation, aber Machtdemonstration eine andere“, sagte Ranganathan. – Aus defensiver Sicht sind diese Angriffe sehr kritisch. Dafür muss gesorgt werden, denn es wird genug Menschen auf dieser Welt geben, die Stärke zeigen wollen.“
Source: habr.com