Le signal utilisé par les avions pour trouver une piste d'atterrissage peut être simulé avec un talkie-walkie à 600 $.
Un avion démontrant une attaque contre une radio en raison de signaux usurpés. atterrit à droite de la piste
Presque tous les avions qui ont volé au cours des 50 dernières années, qu'il s'agisse d'un Cessna monomoteur ou d'un gros porteur de 600 places, se sont appuyés sur des radios pour atterrir en toute sécurité dans les aéroports. Ces systèmes d'atterrissage aux instruments (ILS) sont considérés comme des systèmes d'approche de précision car, contrairement au GPS et à d'autres systèmes de navigation, ils fournissent des informations vitales en temps réel sur l'orientation horizontale de l'avion par rapport à sa position d'atterrissage, sa bande et son angle de descente vertical. Dans de nombreuses conditions - notamment lors d'un atterrissage de nuit dans le brouillard ou sous la pluie - cette radionavigation reste le principal moyen de garantir que l'avion se pose au début de la piste et exactement au milieu.
Comme beaucoup d’autres technologies créées dans le passé, KGS n’offrait pas de protection contre le piratage. Les signaux radio ne sont pas cryptés et leur authenticité ne peut être vérifiée. Les pilotes supposent simplement que les signaux audio que leurs systèmes reçoivent sur la fréquence assignée à l'aéroport sont de véritables signaux diffusés par l'exploitant de l'aéroport. Pendant de nombreuses années, cette faille de sécurité est passée inaperçue, en grande partie parce que le coût et la difficulté de l’usurpation du signal rendaient les attaques inutiles.
Mais des chercheurs ont désormais mis au point une méthode de piratage peu coûteuse qui soulève des questions sur la sécurité du CGS utilisé dans pratiquement tous les aéroports civils du monde industriel. Utiliser une radio à 600 $ , les chercheurs peuvent usurper les signaux de l'aéroport afin que les instruments de navigation du pilote indiquent que l'avion a dévié de sa trajectoire. Selon la formation, le pilote doit corriger le taux de descente ou l'attitude du navire, créant ainsi un risque d'accident.
Une technique d’attaque consiste à simuler des signaux indiquant que l’angle de descente est inférieur à ce qu’il est réellement. Le faux message contient ce qu'on appelle Un signal de « démontage » informant le pilote d'augmenter l'angle de descente, ce qui pourrait entraîner l'atterrissage de l'avion avant le début de la piste.
La vidéo montre un signal autrement falsifié qui pourrait constituer une menace pour un avion arrivant à atterrir. Un attaquant peut envoyer un signal indiquant au pilote que son avion se trouve à gauche de l’axe de la piste, alors qu’en fait l’avion est exactement centré. Le pilote réagira en tirant l’avion vers la droite, ce qui finira par le faire dériver sur le côté.
Des chercheurs de l'Université Northeastern de Boston ont consulté un pilote et un expert en sécurité et ont pris soin de noter qu'il est peu probable qu'une telle usurpation de signal conduise à un accident dans la plupart des cas. Les dysfonctionnements du CGS constituent un risque connu pour la sécurité, et les pilotes expérimentés reçoivent une formation approfondie sur la façon d'y répondre. Par temps clair, il sera facile pour un pilote de remarquer que l'avion n'est pas aligné avec l'axe de la piste et il pourra faire le tour.
Une autre raison de scepticisme raisonnable est la difficulté d’exécuter l’attaque. En plus d'une station radio programmable, des antennes directives et un amplificateur seront nécessaires. Tout cet équipement serait assez difficile à faire entrer clandestinement dans un avion si un hacker voulait lancer une attaque depuis l’avion. S'il décide d'attaquer depuis le sol, il lui faudra beaucoup de travail pour aligner l'équipement avec la piste d'atterrissage sans attirer l'attention. De plus, les aéroports surveillent généralement les interférences sur les fréquences sensibles, ce qui pourrait signifier qu’une attaque est stoppée peu de temps après son début.
En 2012, le chercheur Brad Haynes, connu sous le nom de , dans le système ADS-B (Automatic Dependent Surveillance-Broadcast), que les avions utilisent pour déterminer leur emplacement et transmettre des données à d'autres avions. Il a résumé ainsi les difficultés liées à l’usurpation des signaux CGS :
Si tout est réuni – l’emplacement, l’équipement caché, les mauvaises conditions météorologiques, une cible appropriée, un attaquant bien motivé, intelligent et financièrement autonome – que se passe-t-il ? Dans le pire des cas, l'avion atterrit sur l'herbe et des blessures, voire la mort, sont possibles, mais la conception sûre de l'avion et les équipes d'intervention rapide garantissent qu'il y a très peu de chances qu'un incendie majeur entraîne la perte de l'avion dans son intégralité. Dans un tel cas, l'atterrissage sera suspendu et l'attaquant ne pourra plus répéter cet atterrissage. Dans le meilleur des cas, le pilote remarquera l'écart, tachera son pantalon, augmentera l'altitude, fera le tour et signalera que quelque chose ne va pas avec le CGS - l'aéroport ouvrira une enquête, ce qui signifie que l'attaquant ne voudra plus reste à proximité.
Donc, si tout est réuni, le résultat sera minime. Comparez cela avec le taux de retour sur investissement et l'impact économique d'un idiot avec un drone de 1000 XNUMX $ volant autour de l'aéroport d'Heathrow pendant deux jours. Il est certain qu’un drone était une option plus efficace et plus réalisable qu’une telle attaque.
Pourtant, les chercheurs affirment qu'il existe des risques : les avions qui n'atterissent pas dans la trajectoire de descente, la ligne imaginaire qu'un avion suit lors d'un atterrissage parfait, sont beaucoup plus difficiles à détecter, même par beau temps. De plus, certains aéroports très fréquentés, afin d'éviter les retards, demandent aux avions de ne pas se précipiter dans une approche interrompue, même dans de mauvaises conditions de visibilité. Les directives d'atterrissage de la Federal Aviation Administration des États-Unis, que suivent de nombreux aéroports américains, indiquent qu'une telle décision doit être prise à une altitude de seulement 15 m. Des instructions similaires s'appliquent en Europe. Ils laissent très peu de temps au pilote pour interrompre l'atterrissage en toute sécurité si les conditions visuelles environnantes ne coïncident pas avec les données du CGS.
"Détecter et récupérer toute panne d'instrument lors de procédures d'atterrissage critiques est l'une des tâches les plus difficiles de l'aviation moderne", écrivent les chercheurs dans leur article. intitulé « Attaques sans fil contre les systèmes de trajectoire de descente des avions », adopté à . "Étant donné à quel point les pilotes dépendent du CGS et des instruments en général, les pannes et les interférences malveillantes peuvent avoir des conséquences catastrophiques, en particulier lors des opérations d'approche et de vol autonomes."
Qu'arrive-t-il aux échecs de KGS
Plusieurs atterrissages quasi-catastrophe démontrent les dangers des pannes du CGS. En 2011, le vol SQ327 de Singapore Airlines, avec 143 passagers et 15 membres d'équipage à bord, s'est soudainement incliné vers la gauche alors qu'il se trouvait à 10 mètres au-dessus de la piste de l'aéroport de Munich en Allemagne. Après l'atterrissage, le Boeing 777-300 a viré à gauche, puis à droite, a traversé la ligne médiane et s'est immobilisé avec le train d'atterrissage dans l'herbe à droite de la piste.
В à propos de l'incident, publié par la Commission fédérale allemande d'enquête sur les accidents d'aviation, il est écrit que l'avion a raté le point d'atterrissage de 500 m. Les enquêteurs ont déclaré que l'un des coupables de l'incident était la distorsion des signaux des balises d'atterrissage d'alignement de piste par la prise hors de l'avion. Bien qu'aucune victime n'ait été signalée, l'événement a souligné la gravité de la défaillance des systèmes CGS. D'autres incidents impliquant une panne de CGS qui ont failli se terminer tragiquement incluent le vol néo-zélandais NZ 60 en 2000 et le vol Ryanair FR3531 en 2013. La vidéo explique ce qui n'a pas fonctionné dans ce dernier cas.
Vaibhab Sharma dirige les opérations mondiales de la société de sécurité de la Silicon Valley et pilote des petits avions depuis 2006. Il possède également une licence d'opérateur de communications amateur et est membre bénévole de la Civil Air Patrol, où il a suivi une formation de sauveteur et d'opérateur radio. Il pilote un avion dans le simulateur X-Plane, démontrant une attaque d'usurpation de signal qui fait atterrir l'avion à droite de la piste.
Sharma nous a dit :
Une telle attaque contre le CGS est réaliste, mais son efficacité dépendra d'une combinaison de facteurs, notamment de la connaissance de l'attaquant des systèmes de navigation aérienne et des conditions d'approche. S'il est utilisé correctement, un attaquant pourra détourner l'avion vers les obstacles entourant l'aéroport, et s'il le fait dans de mauvaises conditions de visibilité, il sera très difficile pour l'équipe de pilotes de détecter et de gérer les déviations.
Il a déclaré que les attaques pourraient menacer à la fois les petits avions et les gros avions à réaction, mais pour des raisons différentes. Les petits avions voyagent à des vitesses inférieures. Cela donne aux pilotes le temps de réagir. En revanche, les gros avions à réaction disposent d'un plus grand nombre de membres d'équipage disponibles pour répondre aux événements indésirables, et leurs pilotes reçoivent généralement une formation plus fréquente et plus rigoureuse.
Il a ajouté que la chose la plus importante pour les avions, petits et grands, sera d'évaluer les conditions environnantes, en particulier la météo, lors de l'atterrissage.
"Une attaque comme celle-ci sera probablement plus efficace lorsque les pilotes devront s'appuyer davantage sur les instruments pour réussir un atterrissage", a déclaré Sharma. "Il peut s'agir d'atterrissages de nuit dans des conditions de mauvaise visibilité, ou d'une combinaison de mauvaises conditions et d'un espace aérien encombré qui oblige les pilotes à être plus occupés, les laissant fortement dépendants de l'automatisation."
Aanjan Ranganathan, un chercheur de la Northeastern University qui a contribué à l'élaboration de l'attaque, nous a expliqué qu'on ne peut pas compter sur le GPS pour aider en cas de panne du CGS. Les écarts par rapport à la piste lors d'une attaque par usurpation d'identité efficace iront de 10 à 15 mètres, puisque tout ce qui est plus grand sera visible pour les pilotes et les contrôleurs aériens. Le GPS aura beaucoup de mal à détecter de tels écarts. La deuxième raison est qu’il est très facile d’usurper les signaux GPS.
"Je peux usurper le GPS en parallèle avec l'usurpation du CGS", a déclaré Ranganathan. "Toute la question est de savoir quel est le degré de motivation de l'attaquant."
Prédécesseur du KGS
Les tests KGS ont commencé , et le premier système fonctionnel a été déployé en 1932 à l'aéroport allemand de Berlin-Tempelhof.
KGS reste l'un des systèmes d'atterrissage les plus efficaces. D'autres approches, par exemple, , balise de localisation, système de positionnement global et systèmes de navigation par satellite similaires sont considérés comme inexacts car ils ne fournissent qu'une orientation horizontale ou latérale. Le KGS est considéré comme un système de rendez-vous précis, car il fournit une orientation à la fois horizontale et verticale (itinéraire de descente). Ces dernières années, les systèmes imprécis ont été de moins en moins utilisés. CGS était de plus en plus associé aux pilotes automatiques et aux systèmes d'atterrissage automatique.
Comment fonctionne le CGS : localizer [localizer], glide pente [glideslope] et balises de repérage [marker beacon]
Le BESC comporte deux volets clés. Le localizer indique au pilote si l'avion est décalé à gauche ou à droite de l'axe de la piste, et l'alignement de descente indique au pilote si l'angle de descente est trop élevé pour que l'avion rate le début de la piste. Le troisième élément concerne les balises de repérage. Ils agissent comme des marqueurs qui permettent au pilote de déterminer la distance jusqu'à la piste. Au fil des années, ils ont été de plus en plus remplacés par le GPS et d’autres technologies.
Le localizer utilise deux ensembles d'antennes, émettant deux hauteurs sonores différentes - l'une à 90 Hz et l'autre à 150 Hz - et à une fréquence attribuée à l'une des pistes d'atterrissage. Les réseaux d'antennes sont situés des deux côtés de la piste, généralement après le point de décollage, de sorte que les sons s'annulent lorsque l'avion à l'atterrissage est situé directement au-dessus de l'axe de la piste. L'indicateur de déviation montre une ligne verticale au centre.
Si l'avion vire vers la droite, le son de 150 Hz devient de plus en plus audible, provoquant le déplacement du pointeur de l'indicateur de déviation vers la gauche du centre. Si l'avion vire vers la gauche, le son à 90 Hz devient audible et le pointeur se déplace vers la droite. Bien entendu, un localizer ne peut pas remplacer complètement le contrôle visuel de l'attitude d'un avion : il constitue un moyen d'orientation clé et très intuitif. Les pilotes doivent simplement garder le pointeur centré pour maintenir l’avion exactement au-dessus de la ligne médiane.
La pente de descente fonctionne à peu près de la même manière, sauf qu'elle indique l'angle de descente de l'avion par rapport au début de la piste d'atterrissage. Lorsque l'angle de l'avion est trop faible, le son à 90 Hz devient audible et les instruments indiquent que l'avion doit descendre. Lorsque la descente est trop brusque, un signal à 150 Hz indique que l'avion doit voler plus haut. Lorsque l'avion reste à l'angle de descente prescrit d'environ trois degrés, les signaux s'annulent. Deux antennes de trajectoire de descente sont situées sur la tour à une certaine hauteur, déterminée par l'angle de pente de descente adapté à un aéroport particulier. La tour est généralement située à proximité de la zone de contact des bandes.
Faux parfait
L'attaque des chercheurs de la Northeastern University utilise des émetteurs radio logiciels disponibles dans le commerce. Ces appareils, vendus entre 400 et 600 dollars, transmettent des signaux se faisant passer pour de véritables signaux envoyés par le SSC de l'aéroport. L'émetteur de l'attaquant peut être localisé aussi bien à bord de l'avion attaqué qu'au sol, à une distance allant jusqu'à 5 km de l'aéroport. Tant que le signal de l'attaquant dépasse la puissance du signal réel, le récepteur KGS percevra le signal de l'attaquant et démontrera l'orientation par rapport à la trajectoire de vol verticale et horizontale prévue par l'attaquant.
Si le remplacement est mal organisé, le pilote constatera des changements brusques ou irréguliers dans les lectures des instruments, qu'il confondra avec un dysfonctionnement du CGS. Pour rendre le faux plus difficile à reconnaître, un attaquant peut clarifier l'emplacement exact de l'avion en utilisant , un système qui transmet chaque seconde la position GPS, l'altitude, la vitesse sol et d'autres données d'un avion aux stations au sol et à d'autres navires.
Grâce à ces informations, un attaquant peut commencer à usurper le signal lorsqu'un avion en approche s'est déplacé vers la gauche ou la droite par rapport à la piste, et envoyer un signal à l'attaquant indiquant que l'avion se déplace en palier. Le moment optimal pour attaquer est lorsque l’avion vient de franchir le waypoint, comme le montre la vidéo de démonstration au début de l’article.
L'attaquant peut ensuite appliquer un algorithme de génération et de correction du signal en temps réel qui ajustera en permanence le signal malveillant pour garantir que le décalage par rapport à la trajectoire correcte est cohérent avec tous les mouvements de l'avion. Même si l'attaquant n'a pas les compétences nécessaires pour émettre un faux signal parfait, il peut tellement perturber le CGS que le pilote ne peut pas compter sur lui pour atterrir.
Une variante de l'usurpation de signal est connue sous le nom d'« attaque par observation ». L'attaquant envoie des signaux spécialement préparés avec une puissance supérieure aux signaux de l'émetteur de l'aéroport. L'émetteur d'un attaquant doit généralement envoyer 20 watts de puissance pour ce faire. Les attaques d'observation facilitent l'usurpation d'un signal de manière convaincante.
Attaque de l'Ombre
La deuxième option pour remplacer un signal est connue sous le nom d’« attaque à un ton ». Son avantage est qu'il est possible d'envoyer du son de même fréquence avec une puissance inférieure à celle du KGS de l'aéroport. Cela présente plusieurs inconvénients, par exemple, l'attaquant doit connaître exactement les spécificités de l'avion - par exemple, l'emplacement de ses antennes CGS.
Attaque à un seul ton
Pas de solutions faciles
Les chercheurs affirment qu’il n’existe pas encore de moyen d’éliminer la menace d’attaques par usurpation d’identité. Les technologies de navigation alternatives, notamment la balise azimutale omnidirectionnelle, la balise de localisation, le système de positionnement global et les systèmes de navigation par satellite similaires, sont des signaux sans fil qui ne disposent pas de mécanisme d'authentification et sont donc susceptibles d'être attaqués par usurpation d'identité. De plus, seuls KGS et GPS peuvent fournir des informations sur la trajectoire d'approche horizontale et verticale.
Dans leurs travaux, les chercheurs écrivent :
La plupart des problèmes de sécurité rencontrés par des technologies telles que , и , peut être corrigé en introduisant la cryptographie. Cependant, la cryptographie ne suffira pas à empêcher les attaques de localisation. Par exemple, le cryptage du signal GPS, similaire à la technologie de navigation militaire, peut empêcher dans une certaine mesure les attaques d’usurpation d’identité. L'attaquant pourra néanmoins rediriger les signaux GPS avec les délais dont il a besoin et réaliser une substitution de localisation ou d'heure. L'inspiration peut être tirée de la littérature existante sur l'atténuation des attaques d'usurpation d'identité GPS et la création de systèmes similaires du côté du récepteur. Une alternative serait de mettre en œuvre un système de localisation sécurisé à grande échelle basé sur des limites de distance et des techniques de confirmation de proximité sécurisée. Cependant, cela nécessiterait une communication bidirectionnelle et nécessiterait des études plus approfondies concernant l'évolutivité, la faisabilité, etc.
La Federal Aviation Administration des États-Unis a déclaré qu'elle ne disposait pas de suffisamment d'informations sur la démonstration des chercheurs pour commenter.
Cette attaque et le nombre important de recherches qui ont été effectuées sont impressionnants, mais la question principale de ces travaux reste sans réponse : quelle est la probabilité que quelqu'un soit réellement prêt à se donner la peine de mener une telle attaque ? D'autres types de vulnérabilités, telles que celles qui permettent aux pirates informatiques d'installer à distance des logiciels malveillants sur les ordinateurs des utilisateurs ou de contourner les systèmes de cryptage populaires, sont faciles à monétiser. Ce n’est pas le cas d’une attaque d’usurpation d’identité CGS. Les attaques potentiellement mortelles contre les stimulateurs cardiaques et autres dispositifs médicaux entrent également dans cette catégorie.
Même si les motivations de telles attaques sont plus difficiles à cerner, ce serait une erreur d’en écarter la possibilité. DANS , publié en mai par C4ADS, une organisation à but non lucratif qui s'occupe des conflits mondiaux et de la sécurité interétatique, a révélé que la Fédération de Russie effectuait fréquemment des tests à grande échelle de perturbations du système GPS qui entraînaient un dérapage des systèmes de navigation des navires de 65 milles ou plus.en fait, le rapport indique que lors de l'ouverture du pont de Crimée (c'est-à-dire pas « souvent », mais une seule fois), le système de navigation mondial a été renversé par un émetteur situé sur ce pont, et son travail a été ressenti même à proximité. Anapa, situé à 65 km (pas de miles) de cet endroit. « Et donc tout est vrai » (c) / env. traduction].
« La Fédération de Russie possède un avantage comparatif dans l’exploitation et le développement de capacités permettant de tromper les systèmes de navigation mondiaux », prévient le rapport. « Cependant, le faible coût, la disponibilité et la facilité d’utilisation de ces technologies offrent non seulement aux États, mais aussi aux insurgés, aux terroristes et aux criminels, de nombreuses opportunités de déstabiliser les réseaux étatiques et non étatiques. »
Et même si l’usurpation d’identité CGS semble ésotérique en 2019, il n’est guère exagéré de penser qu’elle deviendra plus courante dans les années à venir, à mesure que les technologies d’attaque seront mieux comprises et que les émetteurs radio contrôlés par logiciel deviendront plus courants. Il n’est pas nécessaire de mener des attaques contre le CGS pour provoquer des accidents. Ils peuvent être utilisés pour perturber les aéroports, à l'instar des drones illégaux qui ont provoqué la fermeture de l'aéroport de Londres de Gatwick en décembre dernier, quelques jours avant Noël, et de l'aéroport d'Heathrow trois semaines plus tard.
« L’argent est une motivation, mais la démonstration de pouvoir en est une autre », a déclaré Ranganathan. – D’un point de vue défensif, ces attaques sont très critiques. Il faut s’en occuper car il y aura suffisamment de gens dans ce monde qui voudront faire preuve de force.
Source: habr.com