La señal que utilizan los aviones para encontrar una pista de aterrizaje se puede falsificar con un walkie-talkie de 600 dólares.
Un avión que demuestra un ataque a una radio debido a señales falsificadas. aterriza a la derecha de la pista
Casi todos los aviones que han volado en los últimos 50 años, ya sea un Cessna monomotor o un jumbo de 600 asientos, han dependido de radios para aterrizar de manera segura en los aeropuertos. Estos sistemas de aterrizaje por instrumentos (ILS) se consideran sistemas de aproximación de precisión porque, a diferencia del GPS y otros sistemas de navegación, proporcionan información vital en tiempo real sobre la orientación horizontal de la aeronave en relación con su posición de aterrizaje, franja y ángulo vertical de descenso. En muchas condiciones, especialmente al aterrizar con niebla o lluvia por la noche, esta radionavegación sigue siendo la principal forma de garantizar que el avión aterrice al principio de la pista y exactamente en el centro.
Como muchas otras tecnologías creadas en el pasado, KGS no brindaba protección contra la piratería. Las señales de radio no están cifradas y no se puede verificar su autenticidad. Los pilotos simplemente asumen que las señales de audio que reciben sus sistemas en la frecuencia asignada del aeropuerto son señales reales transmitidas por el operador del aeropuerto. Durante muchos años, esta falla de seguridad pasó desapercibida, en gran parte porque el costo y la dificultad de la suplantación de señales hacían que los ataques fueran inútiles.
Pero ahora los investigadores han desarrollado un método de piratería de bajo costo que plantea dudas sobre la seguridad del CGS utilizado en prácticamente todos los aeropuertos civiles del mundo industrial. Usando una radio de $600 , los investigadores pueden falsificar las señales del aeropuerto para que los instrumentos de navegación del piloto indiquen que el avión está desviado. Según su formación, el piloto debe corregir el régimen de descenso o la actitud de la embarcación, creando así riesgo de accidente.
Una técnica de ataque consiste en fingir señales de que el ángulo de descenso es menor de lo que realmente es. El mensaje falsificado contiene el llamado Una señal de "derribado" que informa al piloto que aumente el ángulo de descenso, lo que posiblemente resulte en que la aeronave aterrice antes del inicio de la pista.
El video muestra una señal manipulada que podría representar una amenaza para un avión que se acerca a aterrizar. Un atacante puede enviar una señal diciéndole al piloto que su avión está a la izquierda de la línea central de la pista, cuando en realidad el avión está exactamente centrado. El piloto reaccionará tirando del avión hacia la derecha, lo que eventualmente hará que se desvíe hacia un lado.
Investigadores de la Universidad Northeastern de Boston consultaron con un piloto y un experto en seguridad y señalaron cuidadosamente que es poco probable que esa suplantación de señales provoque un accidente en la mayoría de los casos. Las fallas de funcionamiento del CGS son un peligro conocido para la seguridad y los pilotos experimentados reciben una capacitación exhaustiva sobre cómo responder ante ellas. Cuando hace buen tiempo, será fácil para el piloto notar que el avión no está alineado con la línea central de la pista y podrá dar la vuelta.
Otro motivo de escepticismo razonable es la dificultad de ejecutar el ataque. Además de una estación de radio programable, se necesitarán antenas direccionales y un amplificador. Sería bastante difícil introducir todo este equipo de contrabando en un avión si un hacker quisiera lanzar un ataque desde el avión. Si decide atacar desde tierra, le costará mucho trabajo alinear el equipo con la pista de aterrizaje sin llamar la atención. Además, los aeropuertos suelen controlar las interferencias en frecuencias sensibles, lo que podría significar que un ataque se detenga poco después de comenzar.
En 2012, el investigador Brad Haynes, conocido como , en el sistema ADS-B (Automatic Dependent Surveillance-Broadcast), que utilizan las aeronaves para determinar su ubicación y transmitir datos a otras aeronaves. Resumió las dificultades de falsificar señales CGS de la siguiente manera:
Si todo se junta (ubicación, equipo oculto, malas condiciones climáticas, un objetivo adecuado, un atacante bien motivado, inteligente y con poder financiero), ¿qué sucede? En el peor de los casos, el avión aterriza en el césped y es posible que se produzcan lesiones o la muerte, pero el diseño seguro del avión y los equipos de respuesta rápida garantizan que haya muy pocas posibilidades de que un gran incendio provoque la pérdida de todo el avión. En tal caso, el aterrizaje se suspenderá y el atacante ya no podrá repetirlo. En el mejor de los casos, el piloto notará la discrepancia, se manchará los pantalones, aumentará la altitud, dará la vuelta e informará que algo anda mal con el CGS; el aeropuerto comenzará una investigación, lo que significa que el atacante ya no querrá quédate cerca.
Entonces, si todo encaja, el resultado será mínimo. Compárese esto con la relación retorno-inversión y el impacto económico de un idiota con un dron de 1000 dólares volando alrededor del aeropuerto de Heathrow durante dos días. Ciertamente, un dron era una opción más eficaz y viable que un ataque de este tipo.
Aún así, los investigadores dicen que existen riesgos: los aviones que no aterrizan dentro de la trayectoria de planeo (la línea imaginaria que sigue un avión durante un aterrizaje perfecto) son mucho más difíciles de detectar, incluso con buen tiempo. Además, algunos aeropuertos concurridos, para evitar retrasos, dan instrucciones a las aeronaves para que no se apresuren a realizar una aproximación frustrada, incluso en condiciones de mala visibilidad. Las directrices de aterrizaje de la Administración Federal de Aviación de EE. UU., que siguen muchos aeropuertos estadounidenses, indican que dicha decisión debe tomarse a una altitud de sólo 15 m. En Europa se aplican instrucciones similares. Dejan al piloto muy poco tiempo para abortar el aterrizaje de forma segura si las condiciones visuales del entorno no coinciden con los datos del CGS.
"Detectar y recuperarse de cualquier falla de un instrumento durante procedimientos críticos de aterrizaje es una de las tareas más desafiantes en la aviación moderna", escribieron los investigadores en su artículo. titulado “Ataques inalámbricos a sistemas de trayectoria de planeo de aeronaves”, adoptado en . "Dado lo mucho que los pilotos dependen del CGS y de los instrumentos en general, las fallas y las interferencias maliciosas pueden tener consecuencias catastróficas, especialmente durante las operaciones de vuelo y aproximación autónomas".
¿Qué sucede con las fallas de KGS?
Varios aterrizajes casi desastrosos demuestran los peligros de las fallas del CGS. En 2011, el vuelo SQ327 de Singapore Airlines, con 143 pasajeros y 15 tripulantes a bordo, se inclinó repentinamente hacia la izquierda mientras se encontraba a 10 metros sobre la pista del aeropuerto de Munich en Alemania. Después del aterrizaje, el Boeing 777-300 viró a la izquierda, luego giró a la derecha, cruzó la línea central y se detuvo con el tren de aterrizaje en el césped a la derecha de la pista.
В sobre el incidente, publicado por la Comisión Federal Alemana de Investigación de Accidentes de Aviación, se escribe que el avión se perdió el punto de aterrizaje por 500 m. Los investigadores dijeron que uno de los culpables del incidente fue la distorsión de las señales de la baliza de aterrizaje del localizador por la toma fuera del avión. Aunque no se reportaron víctimas, el suceso subrayó la gravedad del fallo de los sistemas CGS. Otros incidentes relacionados con fallas del CGS que casi terminaron trágicamente incluyen el vuelo NZ 60 de Nueva Zelanda en 2000 y el vuelo FR3531 de Ryanair en 2013. El video explica lo que salió mal en este último caso.
Vaibhab Sharma dirige las operaciones globales de la empresa de seguridad de Silicon Valley y vuela aviones pequeños desde 2006. También tiene una licencia de operador de comunicaciones amateur y es miembro voluntario de la Patrulla Aérea Civil, donde se formó como salvavidas y operador de radio. Vuela un avión en el simulador X-Plane, demostrando un ataque de suplantación de señales que hace que el avión aterrice a la derecha de la pista.
Sharma nos dijo:
Un ataque de este tipo contra el CGS es realista, pero su eficacia dependerá de una combinación de factores, incluido el conocimiento del atacante sobre los sistemas de navegación aérea y las condiciones de aproximación. Si se utiliza correctamente, un atacante podrá desviar la aeronave hacia los obstáculos que rodean el aeropuerto y, si se hace en condiciones de poca visibilidad, será muy difícil para el equipo de pilotos detectar y abordar las desviaciones.
Dijo que los ataques tienen el potencial de amenazar tanto a aviones pequeños como a aviones grandes, pero por diferentes razones. Los aviones pequeños viajan a velocidades más bajas. Esto da tiempo a los pilotos para reaccionar. Los aviones grandes, por otro lado, tienen más miembros de tripulación disponibles para responder a eventos adversos y sus pilotos suelen recibir una capacitación más frecuente y rigurosa.
Dijo que lo más importante para los aviones grandes y pequeños será evaluar las condiciones del entorno, especialmente el clima, durante el aterrizaje.
"Un ataque como este probablemente será más efectivo cuando los pilotos tengan que confiar más en los instrumentos para realizar un aterrizaje exitoso", dijo Sharma. "Estos podrían ser aterrizajes nocturnos en condiciones de mala visibilidad, o una combinación de malas condiciones y espacio aéreo congestionado que requiere que los pilotos estén más ocupados, lo que los deja en gran medida dependientes de la automatización".
Aanjan Ranganathan, un investigador de la Universidad Northeastern que ayudó a desarrollar el ataque, nos dijo que hay poco en qué confiar en el GPS para ayudar si el CGS falla. Las desviaciones de la pista en un ataque simulado eficaz oscilarán entre 10 y 15 metros, ya que cualquier cosa más grande será visible para los pilotos y controladores de tráfico aéreo. El GPS tendrá grandes dificultades para detectar tales desviaciones. La segunda razón es que es muy fácil falsificar las señales de GPS.
"Puedo falsificar el GPS en paralelo con la falsificación del CGS", dijo Ranganathan. "La cuestión es el grado de motivación del atacante".
Predecesor del KGS
Las pruebas de KGS han comenzado , y el primer sistema en funcionamiento se implementó en 1932 en el aeropuerto alemán de Berlín-Tempelhof.
KGS sigue siendo uno de los sistemas de aterrizaje más eficaces. Otros enfoques, por ejemplo, , baliza localizadora, sistema de posicionamiento global y sistemas de navegación por satélite similares se consideran inexactos porque solo proporcionan orientación horizontal o lateral. El KGS se considera un sistema de encuentro preciso, ya que proporciona orientación tanto horizontal como vertical (trayectoria de planeo). En los últimos años se han utilizado cada vez menos sistemas imprecisos. CGS se asoció cada vez más con pilotos automáticos y sistemas de aterrizaje automático.
Cómo funciona el CGS: localizador [localizador], senda de planeo [pendiente de planeo] y balizas marcadoras [baliza marcadora]
El CGS tiene dos componentes clave. El localizador le dice al piloto si el avión está desplazado hacia la izquierda o hacia la derecha de la línea central de la pista, y la senda de planeo le dice al piloto si el ángulo de descenso es demasiado alto para que el avión pierda el inicio de la pista. El tercer componente son las balizas de señalización. Actúan como marcadores que permiten al piloto determinar la distancia a la pista. Con el paso de los años, han sido reemplazados cada vez más por GPS y otras tecnologías.
El localizador utiliza dos conjuntos de antenas que emiten dos tonos de sonido diferentes, uno a 90 Hz y el otro a 150 Hz, y en una frecuencia asignada a una de las pistas de aterrizaje. Los conjuntos de antenas están ubicados a ambos lados de la pista, generalmente después del punto de despegue, de modo que los sonidos se cancelan cuando el avión que aterriza está ubicado directamente sobre la línea central de la pista. El indicador de desviación muestra una línea vertical en el centro.
Si el avión gira hacia la derecha, el sonido de 150 Hz se vuelve cada vez más audible, lo que hace que el puntero indicador de desviación se mueva hacia la izquierda del centro. Si el avión gira hacia la izquierda, se oye un sonido de 90 Hz y el puntero se mueve hacia la derecha. Por supuesto, un localizador no puede reemplazar completamente el control visual de la actitud de una aeronave; proporciona un medio de orientación clave y muy intuitivo. Los pilotos simplemente necesitan mantener el puntero centrado para mantener el avión exactamente por encima de la línea central.
La senda de planeo funciona de manera muy similar, solo que muestra el ángulo de descenso del avión con respecto al comienzo de la pista de aterrizaje. Cuando el ángulo del avión es demasiado bajo, se escucha un sonido de 90 Hz y los instrumentos indican que el avión debe descender. Cuando el descenso es demasiado pronunciado, una señal de 150 Hz indica que el avión necesita volar más alto. Cuando la aeronave permanece en el ángulo de trayectoria de planeo prescrito de aproximadamente tres grados, las señales se cancelan. Dos antenas de trayectoria de planeo están ubicadas en la torre a una cierta altura, determinada por el ángulo de senda de planeo adecuado para un aeropuerto en particular. La torre suele estar situada cerca de la zona de contacto de la tira.
perfecto falso
El ataque de los investigadores de la Universidad Northeastern utiliza transmisores de radio de software disponibles comercialmente. Estos dispositivos, que se venden entre 400 y 600 dólares, transmiten señales que simulan ser señales reales enviadas por el SSC del aeropuerto. El transmisor del atacante puede ubicarse tanto a bordo del avión atacado como en tierra, a una distancia de hasta 5 km del aeropuerto. Siempre que la señal del atacante supere la potencia de la señal real, el receptor KGS percibirá la señal del atacante y demostrará la orientación relativa a la trayectoria de vuelo vertical y horizontal planificada por el atacante.
Si el reemplazo está mal organizado, el piloto verá cambios repentinos o erráticos en las lecturas de los instrumentos, que confundirá con un mal funcionamiento del CGS. Para que la falsificación sea más difícil de reconocer, un atacante puede aclarar la ubicación exacta de la aeronave usando , un sistema que cada segundo transmite la ubicación GPS, la altitud, la velocidad de avance y otros datos de una aeronave a estaciones terrestres y otras embarcaciones.
Usando esta información, un atacante puede comenzar a falsificar la señal cuando un avión que se aproxima se ha movido hacia la izquierda o hacia la derecha con respecto a la pista, y enviar una señal al atacante de que el avión avanza nivelado. El momento óptimo para atacar sería cuando el avión acaba de pasar el punto de referencia, como se muestra en el vídeo de demostración al principio del artículo.
Luego, el atacante puede aplicar un algoritmo de generación y corrección de señales en tiempo real que ajustará continuamente la señal maliciosa para garantizar que el desplazamiento de la ruta correcta sea consistente con todos los movimientos de la aeronave. Incluso si el atacante carece de la habilidad para hacer una señal falsa perfecta, puede confundir tanto al CGS que el piloto no puede confiar en él para aterrizar.
Una variante de suplantación de señales se conoce como "ataque de seguimiento". El atacante envía señales especialmente preparadas con una potencia mayor que las señales del transmisor del aeropuerto. El transmisor de un atacante normalmente necesitaría enviar 20 vatios de potencia para hacer esto. Los ataques de seguimiento facilitan la falsificación convincente de una señal.
Ataque de las sombras
La segunda opción para sustituir una señal se conoce como "ataque de un tono". Su ventaja es que es posible enviar sonido de la misma frecuencia con una potencia menor que la de los KGS del aeropuerto. Tiene varias desventajas, por ejemplo, el atacante necesita conocer exactamente las características específicas del avión, por ejemplo, la ubicación de sus antenas CGS.
Ataque de un solo tono
No hay soluciones fáciles
Los investigadores dicen que todavía no hay manera de eliminar la amenaza de los ataques de suplantación de identidad. Las tecnologías de navegación alternativas, incluidas las balizas de azimut omnidireccionales, las balizas de localización, los sistemas de posicionamiento global y sistemas de navegación por satélite similares, son señales inalámbricas que no tienen un mecanismo de autenticación y, por lo tanto, son susceptibles a ataques de suplantación de identidad. Además, sólo KGS y GPS pueden proporcionar información sobre la trayectoria horizontal y vertical de la aproximación.
En su trabajo, los investigadores escriben:
La mayoría de los problemas de seguridad que enfrentan tecnologías como , и , se puede solucionar introduciendo criptografía. Sin embargo, la criptografía no será suficiente para evitar ataques de localización. Por ejemplo, el cifrado de señales GPS, similar a la tecnología de navegación militar, puede prevenir hasta cierto punto los ataques de suplantación de identidad. De todos modos, el atacante podrá redirigir las señales de GPS con los retrasos que necesite y lograr la sustitución de la ubicación o la hora. Se puede inspirarse en la literatura existente sobre la mitigación de ataques de suplantación de identidad de GPS y la creación de sistemas similares en el extremo receptor. Una alternativa sería implementar un sistema de localización segura a gran escala basado en límites de distancia y técnicas seguras de confirmación de proximidad. Sin embargo, esto requeriría una comunicación bidireccional y requiere más estudios sobre escalabilidad, viabilidad, etc.
La Administración Federal de Aviación de Estados Unidos dijo que no tenía suficiente información sobre la demostración de los investigadores para hacer comentarios.
Este ataque y la importante cantidad de investigaciones que se han realizado son impresionantes, pero la pregunta principal del trabajo sigue sin respuesta: ¿qué probabilidades hay de que alguien esté realmente dispuesto a tomarse la molestia de llevar a cabo tal ataque? Otros tipos de vulnerabilidades, como las que permiten a los piratas informáticos instalar malware de forma remota en las computadoras de los usuarios o eludir los sistemas de cifrado populares, son fáciles de monetizar. Este no es el caso de un ataque de suplantación de identidad CGS. Los ataques potencialmente mortales a marcapasos y otros dispositivos médicos también entran en esta categoría.
Si bien es más difícil ver la motivación de tales ataques, sería un error descartar su posibilidad. EN , publicado en mayo por C4ADS, una organización sin fines de lucro que cubre conflictos globales y seguridad interestatal, encontró que la Federación Rusa frecuentemente participaba en pruebas a gran escala de interrupciones del sistema GPS que causaban que los sistemas de navegación de los barcos se desviaran por 65 millas o más [de hecho, el informe dice que durante la apertura del puente de Crimea (es decir, no "a menudo", sino solo una vez), el sistema de navegación global fue derribado por un transmisor ubicado en este puente, y su trabajo se sintió incluso cerca Anapa, ubicada a 65 km (no millas) de este lugar. “Y entonces todo es verdad” (c) / aprox. traducción].
“La Federación Rusa tiene una ventaja comparativa a la hora de explotar y desarrollar capacidades para engañar a los sistemas de navegación globales”, advierte el informe. "Sin embargo, el bajo costo, la disponibilidad abierta y la facilidad de uso de tales tecnologías brindan no sólo a los estados, sino también a los insurgentes, terroristas y criminales amplias oportunidades para desestabilizar las redes estatales y no estatales".
Y si bien la suplantación de CGS parece esotérica en 2019, no es descabellado pensar que se volverá más común en los próximos años a medida que las tecnologías de ataque se comprendan mejor y los transmisores de radio controlados por software se vuelvan más comunes. No es necesario realizar ataques al CGS para provocar accidentes. Pueden utilizarse para perturbar los aeropuertos del mismo modo que los drones ilegales provocaron el cierre del aeropuerto de Gatwick en Londres en diciembre pasado, unos días antes de Navidad, y del aeropuerto de Heathrow tres semanas después.
"El dinero es una motivación, pero la demostración de poder es otra", dijo Ranganathan. – Desde un punto de vista defensivo, estos ataques son muy críticos. Es necesario ocuparse de esto porque habrá suficientes personas en este mundo que querrán mostrar fuerza”.
Fuente: habr.com