La signalo kiun aviadiloj uzas por trovi surteriĝon povas esti falsita per 600 USD walkie-talkie.
Aviadilo montranta atakon al radio pro falsaj signaloj. alteriĝas dekstre de la startleno
Preskaŭ ĉiu aviadilo kiu flugis en la lastaj 50 jaroj - ĉu ĝi estas unumotora Cessna aŭ 600-sidloka jumbo-jeto - dependis de radioj por alteriĝi sekure en flughavenoj. Tiuj instrumentaj surterigsistemoj (ILS) estas konsiderataj precizecaj alirsistemoj ĉar, male al GP kaj aliaj navigaciaj sistemoj, ili disponigas esencajn realtempajn informojn pri la horizontala orientiĝo de la aviadilo relative al ĝia surteriĝopozicio, strio kaj vertikala angulo de deveno. En multaj kondiĉoj - precipe dum surteriĝo en nebulo aŭ pluvo nokte - ĉi tiu radionavigado restas la ĉefa maniero por certigi, ke la aviadilo tuŝas malsupren komence de la startleno kaj ĝuste en la mezo.
Kiel multaj aliaj teknologioj kreitaj en la pasinteco, KGS ne provizis protekton kontraŭ hakado. Radiosignaloj ne estas ĉifritaj kaj ilia aŭtentikeco ne povas esti kontrolita. Pilotoj simple supozas ke la sonsignaloj kiujn iliaj sistemoj ricevas sur la asignita frekvenco de la flughaveno estas realaj signaloj elsenditaj fare de la flughavenfunkciigisto. Dum multaj jaroj, ĉi tiu sekureca difekto pasis nerimarkita, plejparte ĉar la kosto kaj malfacileco de signala falsigo faris atakojn sencelaj.
Sed nun esploristoj evoluigis malmultekostan hakan metodon, kiu levas demandojn pri la sekureco de la CGS uzata en preskaŭ ĉiu civila flughaveno en la industria mondo. Uzante $600 radion , esploristoj povas falsi flughavensignalojn tiel ke la navigaciaj instrumentoj de la piloto indikas ke la aviadilo estas maldirektita. Laŭ trejnado, la piloto devas korekti la indicon de deveno aŭ la sintenon de la ŝipo, tiel kreante la riskon de akcidento.
Unu ataktekniko estas falsi signalojn ke la angulo de deveno estas malpli ol ĝi vere estas. La falsa mesaĝo enhavas la tn "demetado-" signalo informanta la piloton pliigi la angulon de deveno, eventuale rezultigante la aviadilon tuŝante malsupren antaŭ la komenco de la startleno.
La video montras alie mistraktitan signalon, kiu povus prezenti minacon al aviadilo alteriĝanta. Atakanto povas sendi signalon rakontantan al la piloto ke lia aviadilo estas maldekstre de la startlena centra linio, kiam fakte la aviadilo estas ekzakte centrita. La piloto reagos tirante la aviadilon dekstren, kio poste igos ĝin drivi flanken.
Esploristoj de Northeastern University en Bostono interkonsiliĝis kun piloto kaj sekureca fakulo, kaj zorgas rimarki, ke tia signala falsigo verŝajne ne kondukos al kraŝo en la plej multaj kazoj. CGS-misfunkcioj estas konata sekurecdanĝero, kaj spertaj pilotoj ricevas ampleksan trejnadon pri kiel respondi al ili. En klara vetero, estos facile por piloto rimarki, ke la aviadilo ne estas vicigita kun la centra linio de la startleno, kaj li povos ĉirkaŭiri.
Alia kialo de akceptebla skeptiko estas la malfacileco efektivigi la atakon. Krom programebla radiostacio, necesos direktaj antenoj kaj amplifilo. Ĉiu ĉi tiu ekipaĵo estus sufiĉe malfacile kontrabandebla sur aviadilo se retpirato volus lanĉi atakon de la aviadilo. Se li decidas ataki de la tero, necesos multe da laboro por vicigi la ekipaĵon kun la surteriĝo sen altiri atenton. Krome, flughavenoj tipe monitoras por interfero sur sentemaj frekvencoj, kio povus signifi ke atako estas ĉesigita baldaŭ post kiam ĝi komenciĝas.
En 2012, esploristo Brad Haynes, konata kiel , en la sistemo ADS-B (Automatic Dependent Surveillance-Broadcast), kiun aviadiloj uzas por determini sian lokon kaj transdoni datumojn al aliaj aviadiloj. Li resumis la malfacilaĵojn de fakte falsigado de CGS-signaloj jene:
Se ĉio kuniĝas - loko, kaŝita ekipaĵo, malbonaj veterkondiĉoj, taŭga celo, bone motivita, inteligenta kaj finance povigita atakanto - kio okazas? En la plej malbona kazo, la aviadilo alteriĝas sur la herbon kaj vundo aŭ morto estas ebla, sed sekura aviadildezajno kaj rapida respondteamoj certigas ke ekzistas tre malmulte da ŝanco de grandega fajro rezultiganta la perdon de la tuta aviadilo. En tia kazo, la surteriĝo estos suspendita, kaj la atakanto ne plu povos ripeti tion. En la plej bona kazo, la piloto rimarkos la diferencon, makulos sian pantalonon, pliigos altecon, ĉirkaŭiros kaj raportos, ke io misas kun la CGS - la flughaveno komencos enketon, kio signifas, ke la atakanto ne plu volos. restu proksime.
Do, se ĉio kuniĝas, la rezulto estos minimuma. Komparu ĉi tion kun la reveno-al-investo-proporcio kaj la ekonomia efiko de unu idioto kun $1000-virabelo fluganta ĉirkaŭ Heathrow Flughaveno dum du tagoj. Certe virabelo estis pli efika kaj realigebla elekto ol tia atako.
Tamen, esploristoj diras, ke ekzistas riskoj.Aviadiloj kiuj ne alteriĝas ene de la glita vojo—la imaga linio kiun aviadilo sekvas dum perfekta alteriĝo—estas multe pli malfacile detekteblaj, eĉ en bona vetero. Krome, iuj okupataj flughavenoj, por eviti prokrastojn, instrukcias aviadilojn ne rapidi en maltrafitan aliron, eĉ en malbonaj videblecoj. alteriĝogvidlinioj de la Usona Federacia Aviada Administracio, kiujn multaj usonaj flughavenoj sekvas, indikas ke tia decido estu farita je alteco de nur 15 m. Similaj instrukcioj validas en Eŭropo. Ili lasas al la piloto tre malmulte da tempo por sekure interrompi la surteriĝon se la vidaj ĉirkaŭaj kondiĉoj ne koincidas kun la datenoj de la CGS.
"Detekti kaj resaniĝi de ajna instrumentmalsukceso dum kritikaj surteriĝoproceduroj estas unu el la plej malfacilaj taskoj en moderna aviado," la esploristoj skribis en sia artikolo. titolita "Sendrataj atakoj sur aviadilaj glisadvojaj sistemoj", adoptita ĉe . "Konsiderante kiom forte pilotoj fidas je CGS kaj instrumentoj ĝenerale, malsukceso kaj malica interfero povas havi katastrofajn sekvojn, precipe dum aŭtonomia alproksimiĝo kaj flugoperacioj."
Kio okazas al KGS-malsukcesoj
Pluraj preskaŭ-katastrofaj alteriĝoj montras la danĝerojn de CGS-fiaskoj. En 2011, Singapore Airlines-flugo SQ327, kun 143 pasaĝeroj kaj 15 skipo surŝipe, subite enbankiĝis maldekstren dum 10 metroj super la startleno en Munkena Flughaveno en Germanio. Post surteriĝo, la Boeing 777-300 deturniĝis maldekstren, tiam turnis dekstren, transiris la centran linion, kaj ripozis kun la ĉasio en la herbo dekstren de la startleno.
В pri la okazaĵo, eldonita de la Germana Federacia Komisiono pri Esploro pri Aviadilaj Akcidentoj, estas skribite, ke la aviadilo maltrafis la alteriĝpunkton je 500 m. Enketistoj diris, ke unu el la kulpuloj en la okazaĵo estis la distordo de la lokalizilo-alteriĝosignaloj per la prenado. de aviadilo. Kvankam neniuj viktimoj estis raportitaj, la okazaĵo substrekis la gravecon de la fiasko de la CGS-sistemoj. Aliaj okazaĵoj implikantaj CGS-fiaskon, kiuj preskaŭ finiĝis tragedie, inkluzivas Nov-Zelandan flugon NZ 60 en 2000 kaj Ryanair-flugon FR3531 en 2013. La video klarigas kio misfunkciis en ĉi-lasta kazo.
Vaibhab Sharma administras la tutmondajn operaciojn de la sekurecfirmao de Silicon Valley kaj flugas aviadiletojn ekde 2006. Li ankaŭ havas la licencon de amatora komunikadfunkciigisto kaj estas volontulmembro de la Civila Aera Patrolo, kie li estis trejnita kiel savnaĝisto kaj radiofunkciigisto. Li flugas aviadilon en la X-Plane-simulilo, montrante signalan parodiatakon kiu igas la aviadilon alteriĝi dekstren de la startleno.
Sharma diris al ni:
Tia atako sur la CGS estas realisma, sed ĝia efikeco dependos de kombinaĵo de faktoroj, inkluzive de la scio de la atakanto pri aernavigaciaj sistemoj kaj kondiĉoj ĉe alproksimiĝo. Se uzite konvene, atakanto povos deturni la aviadilon direkte al malhelpoj ĉirkaŭantaj la flughavenon, kaj se farite en malbonaj videbleckondiĉoj, estos tre malfacile por la pilotteamo detekti kaj trakti deviojn.
Li diris, ke la atakoj havas la eblecon minaci kaj malgrandajn aviadilojn kaj grandajn jetojn, sed pro malsamaj kialoj. Malgrandaj aviadiloj vojaĝas je pli malaltaj rapidecoj. Ĉi tio donas al pilotoj tempon por reagi. Grandaj jetoj, aliflanke, havas pli da ŝipanoj disponeblaj por respondi al malfavoraj okazaĵoj, kaj iliaj pilotoj tipe ricevas pli oftan kaj rigoran trejnadon.
Li diris, ke la plej grava afero por aviadiloj grandaj kaj malgrandaj estos taksi la ĉirkaŭajn kondiĉojn, precipe la veteron, dum surteriĝo.
"Tia atako verŝajne estos pli efika kiam la pilotoj devos fidi pli al la instrumentoj por fari sukcesan surteriĝon," diris Sharma. "Ĉi tiuj povus esti noktaj surteriĝoj en malbonaj videblecaj kondiĉoj, aŭ kombinaĵo de malbonaj kondiĉoj kaj ŝtopiĝinta aerspaco, kiu postulas pilotojn esti pli okupataj, lasante ilin tre dependaj de aŭtomatigo."
Aanjan Ranganathan, esploristo ĉe Northeastern University, kiu helpis disvolvi la atakon, diris al ni, ke estas malmulte por fidi GPS por helpi vin se la CGS malsukcesas. Devojiĝoj de la startleno en efika parodia atako intervalos de 10 ĝis 15 metroj, ĉar io ajn pli granda estos videbla por pilotoj kaj aertrafikkontrolistoj. GPS havos grandan malfacilecon detekti tiajn deviojn. La dua kialo estas, ke estas tre facile falsigi GPSajn signalojn.
"Mi povas falsigi la GPS paralele kun la parodiado de la CGS," diris Ranganathan. "La tuta demando estas la grado de instigo de la atakanto."
Antaŭulo de la KGS
KGS-testoj komenciĝis , kaj la unua laborsistemo estis deplojita en 1932 en la germana flughaveno Berlin-Tempelhof.
KGS restas unu el la plej efikaj alteriĝosistemoj. Aliaj aliroj, ekzemple, , lokalizila signostango, tutmonda poziciiga sistemo kaj similaj satelitnavigaciaj sistemoj estas konsideritaj malprecizaj ĉar ili nur disponigas horizontalan aŭ lateralan orientiĝon. La KGS estas konsiderita preciza rendevua sistemo, ĉar ĝi disponigas kaj horizontalan kaj vertikalan (glisadvojon) orientiĝon. En la lastaj jaroj, malprecizaj sistemoj estis malpli kaj malpli uzataj. CGS estis ĉiam pli rilata al aŭtopilotoj kaj aŭtosurteriĝaj sistemoj.
Kiel la CGS funkcias: lokalizilo [lokalizilo], glitdeklivo [glisdeklivo] kaj markiloj [marklumo]
La CGS havas du esencajn komponentojn. La lokalizilo rakontas al la piloto ĉu la aviadilo estas ofseto maldekstren aŭ dekstren de la startlena centra linio, kaj la glisaddeklivo rakontas al la piloto ĉu la angulo de deveno estas tro alta por la aviadilo por sopiri la komencon de la startleno. La tria komponanto estas markiloj. Ili funkcias kiel signoj kiuj permesas al la piloto determini la distancon al la startleno. Tra la jaroj, ili ĉiam pli estis anstataŭigitaj per GPS kaj aliaj teknologioj.
La lokalizilo uzas du arojn de antenoj, elsendante du malsamajn tonaltojn de sono - unu je 90 Hz, kaj la alia je 150 Hz - kaj ĉe frekvenco asignita al unu el la alteriĝostrioj. Antenaroj situas ambaŭflanke de la startleno, kutime post la deteriĝopunkto, tiel ke la sonoj nuligas kiam la alteriĝoaviadilo situas rekte super la centra linio de la startleno. La devia indikilo montras vertikalan linion en la centro.
Se la aviadilo deturniĝas dekstren, la 150 Hz-sono iĝas ĉiam pli aŭdebla, igante la devia indikilo montrilo movi maldekstren de centro. Se la aviadilo deturniĝas maldekstren, la 90 Hz sono iĝas aŭdebla kaj la montrilo moviĝas dekstren. Lokigilo, kompreneble, ne povas tute anstataŭigi vidan kontrolon de la sinteno de aviadilo; ĝi disponigas ŝlosilan kaj tre intuician rimedon de orientiĝo. Pilotoj simple bezonas teni la montrilon centrita por konservi la aviadilon ekzakte super la centra linio.
La glisaddeklivo funkcias en la sama maniero, nur ĝi montras la angulon de deveno de la aviadilo relative al la komenco de la surteriĝo. Kiam la angulo de la aviadilo estas tro malalta, la 90 Hz-sono iĝas aŭdebla kaj la instrumentoj indikas ke la aviadilo devus descendi. Kiam la malsupreniro estas tro akra, signalo je 150 Hz indikas, ke la aviadilo devas flugi pli alte. Kiam la aviadilo restas ĉe la preskribita glitavojangulo de proksimume tri gradoj, la signaloj nuligas. Du glisadvojantenoj situas sur la turo ĉe certa alteco, determinita per la glisdeklivperspektivo taŭga por speciala flughaveno. La turo estas kutime situanta proksime al la striotuŝanta areo.
Perfekta falsaĵo
La atako de la esploristoj de la Northeastern University uzas komerce disponeblajn programajn radiosendilojn. Ĉi tiuj aparatoj, vendataj por $400-$600, elsendas signalojn ŝajnigantajn esti veraj signaloj senditaj de la SSC de la flughaveno. La elsendilo de la atakanto povas troviĝi kaj sur la atakita aviadilo kaj sur la tero, je distanco de ĝis 5 km de la flughaveno. Tiel longe kiel la signalo de la atakanto superas la potencon de la reala signalo, la KGS-ricevilo perceptos la signalon de la atakanto kaj montros la orientiĝon rilate al la vertikala kaj horizontala flugvojo planita de la atakanto.
Se la anstataŭaĵo estas nebone organizita, la piloto vidos subitajn aŭ nekonstantajn ŝanĝojn en instrumentlegadoj, kiujn li konfuzos kun misfunkcio de la CGS. Por fari la falsaĵon pli malfacila rekoni, atakanto povas klarigi la precizan lokon de la aviadilo uzanta , sistemo kiu ĉiun sekundon elsendas la GPS-lokon de aviadilo, altecon, grundrapidecon, kaj aliajn datenojn al grundaj stacioj kaj aliaj ŝipoj.
Uzante tiujn informojn, atakanto povas komenci falsigi la signalon kiam proksimiĝanta aviadilo moviĝis maldekstren aŭ dekstren relative al la startleno, kaj sendi signalon al la atakanto ke la aviadilo daŭrigas nivelon. La optimuma tempo por ataki estas kiam la aviadilo ĵus preterpasis la vojpunkton, kiel montrite en la pruva video komence de la artikolo.
La atakanto tiam povas apliki realtempan signalan korekton kaj generan algoritmon, kiu kontinue alĝustigos la malican signalon por certigi, ke la ofseto de la ĝusta vojo kongruas kun ĉiuj movoj de la aviadilo. Eĉ se al la atakanto mankas la kapablo fari perfektan falsan signalon, li povas konfuzi la CGS tiel multe ke la piloto ne povas fidi je ĝi por alteriĝi.
Unu variaĵo de signala parodiado estas konata kiel "ombra atako." La atakanto sendas speciale pretajn signalojn kun potenco pli granda ol la signaloj de la flughavena dissendilo. La dissendilo de atakanto tipe bezonus sendi 20 vatojn da potenco por fari tion. Ombraj atakoj faciligas konvinke falsigi signalon.
Ombra Atako
La dua opcio por anstataŭigi signalon estas konata kiel "unutona atako". Ĝia avantaĝo estas ke eblas sendi sonon de la sama frekvenco kun potenco malpli ol tiu de la KGS de la flughaveno. Ĝi havas plurajn malavantaĝojn, ekzemple, la atakanto bezonas scii precize la specifaĵoj de la aviadilo - ekzemple, la loko de ĝiaj CGS-antenoj.
Unutona atako
Neniuj facilaj solvoj
Esploristoj diras, ke ankoraŭ ne ekzistas maniero elimini la minacon de parodiaj atakoj. Alternativaj navigaciaj teknologioj - inkluzive de ĉiudirekta azimutstango, lokalizila signostango, tutmonda poziciiga sistemo, kaj similaj satelitaj navigaciaj sistemoj - estas sendrataj signaloj kiuj ne havas aŭtentikigmekanismon kaj estas tial sentemaj al parodiatakoj. Krome, nur KGS kaj GPS povas provizi informojn pri la horizontala kaj vertikala alirtrajektorio.
En sia laboro, la esploristoj skribas:
La plej multaj el la sekurecaj problemoj alfrontataj de teknologioj kiel ekzemple , и , povas esti riparita enkondukante kriptografion. Tamen kriptografio ne sufiĉos por malhelpi lokalizajn atakojn. Ekzemple, GPS-signalĉifrado, simila al armea navigacia teknologio, povas malhelpi falsajn atakojn certagrade. Tamen, la atakanto povos redirekti GPS-signalojn kun la tempoprokrastoj, kiujn li bezonas, kaj atingi lokon aŭ tempan anstataŭigon. Inspiro povas esti desegnita de ekzistanta literaturo pri mildigado de GPS-falsaj atakoj kaj kreado de similaj sistemoj ĉe la ricevilo fino. Alternativo estus efektivigi grandskalan sekuran lokalizsistemon bazitan sur distanclimoj kaj sekuraj proksimeckonfirmteknikoj. Tamen, ĉi tio postulus dudirektan komunikadon kaj postulas plian studon pri skaleblo, farebleco, ktp.
La Usona Federacia Aviada Administracio diris, ke ĝi ne havas sufiĉe da informoj pri la manifestacio de la esploristoj por komenti.
Ĉi tiu atako kaj la signifa kvanto de esploroj faritaj estas impresaj, sed la ĉefa demando de la laboro restas nerespondita: kiom verŝajne iu efektive pretus fari tian atakon? Aliaj specoj de vundeblecoj, kiel tiuj, kiuj permesas al piratoj malproksime instali malbon-varon sur komputiloj de uzantoj aŭ preteriri popularajn ĉifradsistemojn, estas facile moneteblaj. Ĉi tio ne estas la kazo kun CGS-atako. Vivminacaj atakoj sur korstimuliloj kaj aliaj medicinaj aparatoj ankaŭ falas en ĉi tiun kategorion.
Dum la instigo por tiaj atakoj estas pli malfacile videbla, estus eraro forĵeti ilian eblecon. EN , publikigita en majo fare de C4ADS, neprofitocela organizo kovranta tutmondan konflikton kaj interŝtatan sekurecon, trovis ke la Rusa Federacio ofte okupiĝis pri grandskala testado de GP-sisteminterrompoj kiuj igis la navigaciajn sistemojn de ŝipoj esti ekstervoje je 65 mejloj aŭ pli [fakte, la raporto diras, ke dum la malfermo de la Krimea ponto (tio estas, ne "ofte", sed nur unufoje), la tutmonda navigada sistemo estis faligita de dissendilo situanta sur ĉi tiu ponto, kaj ĝia laboro estis sentita eĉ proksime. Anapa, situanta en 65 km (ne mejloj) de ĉi tiu loko. “Kaj do ĉio estas vera” (c) / ĉ. traduko].
"La Rusa Federacio havas komparan avantaĝon ekspluati kaj disvolvi kapablojn por trompi tutmondajn navigaciajn sistemojn," avertas la raporto. "Tamen, la malalta kosto, malferma havebleco kaj facileco de uzado de tiaj teknologioj provizas ne nur ŝtatojn, sed ankaŭ ribelantojn, teroristojn kaj krimulojn ampleksajn ŝancojn malstabiligi ŝtatajn kaj neŝtatajn retojn."
Kaj dum CGS-falsado ŝajnas esotera en 2019, estas apenaŭ malproksime pensi, ke ĝi fariĝos pli kutima en la venontaj jaroj, kiam atakteknologioj pliboniĝos kaj programar-kontrolitaj radiosendiloj iĝos pli oftaj. Atakoj al la CGS ne bezonas esti faritaj por kaŭzi akcidentojn. Ili povas esti uzataj por interrompi flughavenojn tiel, kiel kontraŭleĝaj virabeloj kaŭzis la fermon de la Gatwick Flughaveno de Londono la pasintan decembron, kelkajn tagojn antaŭ Kristnasko, kaj de la Flughaveno de Heathrow tri semajnojn poste.
"Mono estas unu instigo, sed montrado de potenco estas alia," diris Ranganathan. – El defenda vidpunkto, ĉi tiuj atakoj estas tre kritikaj. Oni devas prizorgi tion, ĉar estos sufiĉe da homoj en ĉi tiu mondo, kiuj volos montri forton.”
fonto: www.habr.com