A jel, amelyet a repülőgépek a leszállópálya megtalálására használnak, meghamisítható egy 600 dolláros walkie-talkie-val.
Rádió elleni támadást demonstráló repülőgép hamisított jelek miatt. a kifutótól jobbra landol
Szinte minden repülőgép, amely az elmúlt 50 évben repült – legyen az egymotoros Cessna vagy 600 üléses jumbo jet –, rádiókra támaszkodott a biztonságos leszálláshoz a repülőtereken. Ezeket a műszeres leszállási rendszereket (ILS) precíziós megközelítési rendszernek tekintik, mivel a GPS-szel és más navigációs rendszerekkel ellentétben létfontosságú, valós idejű információkat szolgáltatnak a repülőgép vízszintes tájolásáról a leszállási helyzethez képest, csíkokról és függőleges süllyedési szögekről. Sok esetben – különösen éjszakai ködben vagy esőben történő leszálláskor – ez a rádiónavigáció továbbra is a fő módja annak, hogy a repülőgép a kifutópálya elején és pontosan a közepén érjen le.
Mint sok más, korábban létrehozott technológia, a KGS sem nyújtott védelmet a hackelés ellen. A rádiójelek nincsenek titkosítva, és hitelességük nem ellenőrizhető. A pilóták egyszerűen azt feltételezik, hogy a rendszereik által a repülőtérhez kijelölt frekvencián vett audiojelek a repülőtér üzemeltetője által sugárzott valódi jelek. Ez a biztonsági hiba sok éven át észrevétlen maradt, főként azért, mert a jelhamisítás költsége és nehézsége értelmetlenné tette a támadásokat.
Most azonban a kutatók kifejlesztettek egy olcsó hackelési módszert, amely kérdéseket vet fel az ipari világ gyakorlatilag minden polgári repülőterén használt CGS biztonságával kapcsolatban. 600 dolláros rádió használata , a kutatók meghamisíthatják a repülőtéri jeleket, így a pilóta navigációs műszerei jelzik, hogy a gép eltér az iránytól. A kiképzés szerint a pilótának korrigálnia kell a süllyedés sebességét vagy a hajó helyzetét, ezzel balesetveszélyt okozva.
Az egyik támadási technika a jelek meghamisítása, amelyek szerint a süllyedés szöge kisebb, mint amilyen valójában. A hamisított üzenet tartalmazza az ún "Take down" jelzés, amely tájékoztatja a pilótát, hogy növelje az ereszkedési szöget, ami azt eredményezheti, hogy a repülőgép még a kifutópálya kezdete előtt leér.
A videón egy egyébként manipulált jel látható, amely veszélyt jelenthet a leszállni érkező repülőgépre. A támadó jelet küldhet a pilótának, hogy a gépe a kifutópálya középvonalától balra van, miközben valójában a gép pontosan középen van. A pilóta erre úgy reagál, hogy jobbra húzza a gépet, ami végül oldalra sodródik.
A bostoni Northeastern Egyetem kutatói pilótával és biztonsági szakértővel konzultáltak, és ügyelnek arra, hogy megjegyezzék, hogy az ilyen jelhamisítás a legtöbb esetben nem valószínű, hogy balesethez vezet. A CGS meghibásodásai ismert biztonsági kockázatot jelentenek, és a tapasztalt pilóták kiterjedt képzésben részesülnek, hogyan reagáljanak rájuk. Tiszta időben a pilóta könnyen észreveszi, hogy a repülőgép nincs egy vonalban a kifutópálya középvonalával, és körbe tud menni.
Az ésszerű szkepticizmus másik oka a támadás végrehajtásának nehézsége. A programozható rádióállomáson kívül irányított antennákra és erősítőre lesz szükség. Mindezt a felszerelést meglehetősen nehéz lenne repülőre csempészni, ha egy hacker támadást akarna indítani a gépről. Ha úgy dönt, hogy a földről támad, nagyon sok munkába fog kerülni, hogy a felszerelést a leszállósávhoz igazítsa anélkül, hogy felhívná magára a figyelmet. Ezenkívül a repülőterek általában érzékeny frekvenciákon figyelik az interferenciát, ami azt jelentheti, hogy a támadást hamarosan leállítják annak megkezdése után.
2012-ben Brad Haynes kutató, az úgynevezett , az ADS-B (Automatic Dependent Surveillance-Broadcast) rendszerben, amely alapján a légi járművek meghatározzák a helyzetüket, és adatokat továbbítanak más repülőgépeknek. A következőképpen foglalta össze a CGS-jelek tényleges hamisításának nehézségeit:
Ha minden összejön - helyszín, rejtett felszerelés, rossz időjárási viszonyok, megfelelő célpont, jól motivált, okos és anyagilag feljogosított támadó - mi történik? A legrosszabb esetben a gép a fűre száll, és sérülés vagy halál is lehetséges, de a biztonságos repülőgép-tervezés és a gyorsreagálású csapatok gondoskodnak arról, hogy nagyon kicsi az esélye annak, hogy hatalmas tűz keletkezzen, ami a teljes repülőgép elvesztését eredményezné. Ilyen esetben a leszállást felfüggesztjük, és a támadó ezt már nem tudja megismételni. A legjobb esetben a pilóta észreveszi az eltérést, bemocskolja a nadrágját, megnöveli a magasságot, körbemegy, és jelenti, hogy valami nincs rendben a CGS-sel – a repülőtér vizsgálatot kezd, ami azt jelenti, hogy a támadó többé nem akarja maradj a közelben.
Tehát, ha minden összejön, az eredmény minimális lesz. Hasonlítsa össze ezt a megtérülési rátával és a gazdasági hatásokkal, ha egy idióta egy 1000 dolláros drónnal repül a Heathrow repülőtér körül két napig. A drón minden bizonnyal hatékonyabb és működőbb megoldás volt, mint egy ilyen támadás.
A kutatók szerint ennek ellenére vannak kockázatok: azokat a repülőgépeket, amelyek nem a siklópályán belül szállnak le – ez a képzeletbeli vonal, amelyet a repülőgép követ a tökéletes leszállás során –, még jó időben is sokkal nehezebb észlelni. Sőt, egyes forgalmas repülőterek a késések elkerülése érdekében arra utasítják a repülőgépeket, hogy még rossz látási viszonyok között se rohanjanak elmulasztott megközelítésbe. Az Egyesült Államok Szövetségi Légiközlekedési Hivatalának leszállási irányelvei, amelyeket számos amerikai repülőtér követ, azt jelzi, hogy ilyen döntést csak 15 méteres magasságban kell meghozni. Hasonló utasítások érvényesek Európában. Nagyon kevés időt hagynak a pilótának a leszállás biztonságos megszakítására, ha a vizuális környezeti feltételek nem esnek egybe a CGS adataival.
"A kritikus leszállási eljárások során a műszerhibák észlelése és helyreállítása az egyik legnagyobb kihívást jelentő feladat a modern repülésben" - írták közleményükben a kutatók. „Vezeték nélküli támadások repülőgép-siklópálya-rendszerek ellen” címmel fogadták el . „Tekintettel arra, hogy a pilóták mennyire támaszkodnak a CGS-re és általában a műszerekre, a meghibásodások és a rosszindulatú beavatkozások katasztrofális következményekkel járhatnak, különösen az autonóm megközelítés és a repülés során.”
Mi történik a KGS hibáival?
Számos katasztrófaközeli leszállás jól mutatja a CGS meghibásodásának veszélyeit. 2011-ben a Singapore Airlines SQ327-es járata 143 utassal és 15 fős személyzettel a fedélzetén hirtelen balra dőlt, miközben 10 méterrel a kifutópálya felett volt a németországi müncheni repülőtéren. Leszállás után a Boeing 777-300 balra fordult, majd jobbra fordult, átlépte a középvonalat, és a futóművel a fűben a kifutópálya jobb oldalán állt meg.
В Az incidensről, amelyet a Német Szövetségi Repülőbaleset-vizsgáló Bizottság tett közzé, azt írják, hogy a gép 500 méterrel elkerülte a leszállóhelyet. A nyomozók szerint az incidens egyik felelőse az volt, hogy a leszállási jelzőfény torzította a leszállást repülőn kívül. Bár áldozatokról nem érkezett jelentés, az esemény rávilágított a CGS-rendszerek meghibásodásának súlyosságára. A CGS meghibásodásával kapcsolatos egyéb incidensek, amelyek csaknem tragikusan végződtek, közé tartozik az új-zélandi NZ 60-as járat 2000-ben és a Ryanair FR3531-es járata 2013-ban. A videó elmagyarázza, mi történt az utóbbi esetben.
Vaibhab Sharma irányítja a Szilícium-völgy biztonsági vállalatának globális tevékenységét, és 2006 óta repül kisrepülőkkel. Amatőr kommunikációs operátori engedéllyel is rendelkezik, és önkéntes tagja a Polgári Légiőrszolgálatnak, ahol vízimentőnek és rádiósnak képezték ki. Repülőgéppel repül az X-Plane szimulátorban, bemutatva egy jelhamisító támadást, aminek következtében a gép a kifutópálya jobb oldalán landol.
Sharma azt mondta nekünk:
A CGS elleni ilyen támadás reális, de hatékonysága több tényező kombinációjától függ, beleértve a támadó léginavigációs rendszerekkel kapcsolatos ismereteit és a megközelítés feltételeit. Megfelelő használat esetén a támadó a repülőteret körülvevő akadályok felé tudja terelni a repülőgépet, rossz látási viszonyok között pedig nagyon nehéz lesz a pilótacsapatnak észlelni és kezelni az eltéréseket.
Azt mondta, hogy a támadások kis repülőgépeket és nagy sugárhajtású repülőgépeket egyaránt veszélyeztethetnek, de különböző okokból. A kis repülők kisebb sebességgel közlekednek. Ez időt ad a pilótáknak a reagálásra. A nagy sugárhajtású repülőgépeken viszont több személyzet áll rendelkezésre, hogy reagáljanak a nemkívánatos eseményekre, és pilótáik általában gyakoribb és szigorúbb képzésben részesülnek.
Azt mondta, a kis és nagy gépek számára a legfontosabb az lesz, hogy leszállás közben felmérjék a környező körülményeket, különösen az időjárást.
"Egy ilyen támadás valószínűleg hatékonyabb lesz, ha a pilótáknak jobban kell támaszkodniuk a műszerekre a sikeres leszállás érdekében" - mondta Sharma. „Ezek lehetnek éjszakai leszállások rossz látási viszonyok között, vagy a rossz viszonyok és a zsúfolt légtér kombinációja, amely miatt a pilótáknak nagyobb elfoglaltságra van szükségük, ami nagymértékben függ az automatizálástól.”
Aanjan Ranganathan, a Northeastern University kutatója, aki segített a támadás kidolgozásában, azt mondta nekünk, hogy kevés a GPS-re támaszkodva, hogy segítsen, ha a CGS meghibásodik. Hatékony hamis támadás esetén a kifutópályától való eltérések 10-15 méteresek lehetnek, mivel minden nagyobb látható lesz a pilóták és a légiforgalmi irányítók számára. A GPS-nek nagy nehézségekbe ütközik az ilyen eltérések észlelése. A második ok az, hogy nagyon könnyű meghamisítani a GPS-jeleket.
"A GPS-t a CGS hamisításával párhuzamosan tudom hamisítani" - mondta Ranganathan. "Az egész kérdés a támadó motiváltságának foka."
A KGS elődje
Megkezdődtek a KGS tesztek , és az első működő rendszert 1932-ben telepítették a német Berlin-Tempelhof repülőtéren.
A KGS továbbra is az egyik leghatékonyabb leszállórendszer. Más megközelítések, pl. , helymeghatározó jeladó, globális helymeghatározó rendszer és hasonló műholdas navigációs rendszerek pontatlannak minősülnek, mert csak vízszintes vagy oldalirányú tájolást biztosítanak. A KGS pontos találkozási rendszernek számít, mivel vízszintes és függőleges (siklópálya) tájolást is biztosít. Az utóbbi években egyre ritkábban alkalmaznak pontatlan rendszereket. A CGS-t egyre inkább az autopilotokhoz és az automatikus leszállási rendszerekhez kapcsolták.
Hogyan működik a CGS: lokalizátor [localizer], siklásszög [glideslope] és marker beacons [marker beacon]
A CGS-nek két kulcseleme van. A lokalizátor közli a pilótával, hogy a gép a kifutópálya középvonalától balra vagy jobbra van-e eltolva, a siklási lejtő pedig azt, hogy a süllyedési szög túl magas-e ahhoz, hogy a gép lekéssze a kifutópálya kezdetét. A harmadik komponens a jelzőfények. Jelölőkként működnek, amelyek lehetővé teszik a pilóta számára, hogy meghatározza a kifutópálya távolságát. Az évek során egyre inkább felváltották őket a GPS és más technológiák.
A lokalizátor két antennakészletet használ, amelyek két különböző hangmagasságú hangot bocsátanak ki – az egyiket 90 Hz-en, a másikat 150 Hz-en – és az egyik leszállósávhoz rendelt frekvencián. Az antennatömbök a kifutópálya mindkét oldalán, általában a felszállási pont után helyezkednek el, így a hangok megszűnnek, ha a leszálló repülőgép közvetlenül a kifutópálya középvonala felett helyezkedik el. Az eltérésjelző egy függőleges vonalat mutat a közepén.
Ha a repülőgép jobbra fordul, a 150 Hz-es hang egyre jobban hallhatóvá válik, aminek következtében az eltérésjelző mutató balra mozog a középponttól. Ha a repülőgép balra fordul, a 90 Hz-es hang hallhatóvá válik, és a mutató jobbra mozog. A lokalizátor természetesen nem helyettesítheti teljesen a repülőgép helyzetének vizuális ellenőrzését, kulcsfontosságú és nagyon intuitív tájékozódási eszközt biztosít. A pilótáknak egyszerűen középen kell tartaniuk a mutatót, hogy a sík pontosan a középvonal felett maradjon.
A siklópálya nagyjából ugyanígy működik, csak a repülőgép süllyedési szögét mutatja a leszállópálya elejéhez képest. Ha a gép szöge túl alacsony, akkor a 90 Hz-es hang hallhatóvá válik, és a műszerek jelzik, hogy a gépnek le kell ereszkednie. Ha a süllyedés túl éles, egy 150 Hz-es jel azt jelzi, hogy a gépnek magasabbra kell repülnie. Amikor a repülőgép az előírt, körülbelül három fokos siklópálya szögben marad, a jelzések megszűnnek. Két siklópálya-antenna található a tornyon egy bizonyos magasságban, amelyet az adott repülőtérnek megfelelő siklásszög határozza meg. A torony általában a szalag érintési terület közelében található.
Tökéletes hamisítvány
A Northeastern University kutatóinak támadása kereskedelmi forgalomban kapható szoftveres rádióadókat használ. Ezek a 400-600 dollárért árusító eszközök a repülőtér SSC-je által küldött valódi jeleket színlelve továbbítják a jeleket. A támadó adója a megtámadott repülőgép fedélzetén és a földön egyaránt elhelyezhető, a repülőtértől legfeljebb 5 km-re. Mindaddig, amíg a támadó jele meghaladja a valódi jel erejét, a KGS vevő érzékeli a támadó jelét, és megmutatja a tájolást a támadó által tervezett függőleges és vízszintes repülési útvonalhoz képest.
Ha a csere rosszul van megszervezve, a pilóta hirtelen vagy szabálytalan változásokat fog látni a műszerek leolvasásában, amit összetéveszt a CGS hibás működésével. A hamisítvány könnyebb felismerése érdekében a támadó tisztázhatja a repülőgép pontos helyét , egy olyan rendszer, amely másodpercenként továbbítja a repülőgép GPS-helyzetét, magasságát, talajsebességét és egyéb adatokat a földi állomásoknak és más hajóknak.
Ezen információk felhasználásával a támadó elkezdheti meghamisítani a jelet, amikor egy közeledő repülőgép balra vagy jobbra mozdult el a kifutópályához képest, és jelet küldhet a támadónak, hogy a repülőgép szinten halad. A támadás optimális időpontja az lenne, amikor a repülőgép éppen áthaladt az útponton, ahogy az a cikk elején található bemutató videón is látható.
A támadó ezután egy valós idejű jeljavító és -generáló algoritmust alkalmazhat, amely folyamatosan módosítja a rosszindulatú jelet, hogy biztosítsa, hogy a helyes útvonaltól való eltérés összhangban legyen a repülőgép minden mozgásával. Még ha a támadónak nincs is készsége a tökéletes hamis jel létrehozásához, annyira összezavarhatja a CGS-t, hogy a pilóta nem bízhat rá a leszálláshoz.
A jelhamisítás egyik változatát „árnyékoló támadásnak” nevezik. A támadó speciálisan előkészített jeleket küld, amelyek teljesítménye nagyobb, mint a repülőtéri adó jelei. A támadó adójának ehhez általában 20 watt teljesítményt kell küldenie. Az árnyékoló támadások megkönnyítik a jelek meggyőző meghamisítását.
Shadow Attack
A jel helyettesítésének második lehetőségét „egyhangú támadásnak” nevezik. Előnye, hogy a repülőtéri KGS-nél kisebb teljesítménnyel is lehet azonos frekvenciájú hangot küldeni. Több hátránya is van, például a támadónak pontosan tudnia kell a repülőgép sajátosságait – például a CGS antennáinak elhelyezkedését.
Egyhangú támadás
Nincsenek egyszerű megoldások
A kutatók szerint egyelőre nincs mód a hamisító támadások veszélyének kiküszöbölésére. Az alternatív navigációs technológiák – ideértve a mindenirányú azimut jeladót, a helymeghatározó jeladót, a globális helymeghatározó rendszert és a hasonló műholdas navigációs rendszereket – olyan vezeték nélküli jelek, amelyek nem rendelkeznek hitelesítési mechanizmussal, és ezért hajlamosak a hamisítási támadásokra. Ráadásul csak a KGS és a GPS tud információt adni a vízszintes és függőleges megközelítési pályáról.
Munkájukban a kutatók a következőket írják:
A legtöbb biztonsági probléma, amellyel olyan technológiák szembesülnek, mint pl , и , kriptográfia bevezetésével javítható. A kriptográfia azonban nem lesz elegendő a lokalizációs támadások megelőzésére. Például a katonai navigációs technológiához hasonló GPS-jeltitkosítás bizonyos mértékig képes megakadályozni a hamisítási támadásokat. Mindazonáltal a támadó képes lesz átirányítani a GPS-jeleket a szükséges időkésleltetésekkel, és elérheti a hely vagy az idő helyettesítését. Ihletet meríthetünk a GPS-hamisítás elleni támadások mérséklésével és a vevőoldali hasonló rendszerek létrehozásával foglalkozó meglévő szakirodalomból. Alternatív megoldás egy nagyszabású biztonságos lokalizációs rendszer bevezetése, amely távolságkorlátozásokon és biztonságos közelség-megerősítő technikákon alapul. Ehhez azonban kétirányú kommunikációra lenne szükség, és további tanulmányozást igényel a skálázhatóság, megvalósíthatóság stb.
Az Egyesült Államok Szövetségi Légiközlekedési Hivatala közölte, hogy nem rendelkezik elegendő információval a kutatók demonstrációjáról ahhoz, hogy kommentálja.
Ez a támadás és az elvégzett jelentős mennyiségű kutatás lenyűgöző, de a munka fő kérdése továbbra is megválaszolatlan: mennyire valószínű, hogy valaki valóban hajlandó lenne belemenni egy ilyen támadásba? Más típusú sebezhetőségek, például azok, amelyek lehetővé teszik a hackerek számára, hogy távolról telepítsenek rosszindulatú programokat a felhasználók számítógépére, vagy megkerüljék a népszerű titkosítási rendszereket, könnyen bevételt szerezhetnek. Nem ez a helyzet a CGS hamisítási támadásoknál. Ebbe a kategóriába tartoznak a szívritmus-szabályozók és más orvosi eszközök elleni életveszélyes támadások is.
Bár az ilyen támadások motivációját nehezebb belátni, hiba lenne elvetni a lehetőségüket. BAN BEN A C4ADS, a globális konfliktusokkal és az államközi biztonsággal foglalkozó nonprofit szervezet májusban közzétette, és megállapította, hogy az Orosz Föderáció gyakran foglalkozott a GPS-rendszer olyan zavarainak nagyszabású tesztelésével, amelyek miatt a hajók navigációs rendszerei 65 mérfölddel vagy még tovább tértek el [Valójában a jelentés azt mondja, hogy a krími híd megnyitásakor (vagyis nem „gyakran”, hanem csak egyszer) a globális navigációs rendszert egy ezen a hídon elhelyezett adó ledöntötte, és a munkája még a közelében is érezhető volt. Anapa, 65 km-re (nem mérföldre) ettől a helytől. „És így minden igaz” (c) / kb. fordítás].
„Az Orosz Föderációnak komparatív előnye van a globális navigációs rendszerek megtévesztésére szolgáló képességek kiaknázásában és fejlesztésében” – figyelmeztet a jelentés. "Azonban az ilyen technológiák alacsony költsége, nyílt elérhetősége és könnyű használhatósága nem csak az államoknak, hanem a felkelőknek, terroristáknak és bűnözőknek is bőséges lehetőséget kínál az állami és nem állami hálózatok destabilizálására."
És bár a CGS-hamisítás ezoterikusnak tűnik 2019-ben, aligha lehet túlzás azt gondolni, hogy az elkövetkező években egyre gyakoribbá válik, ahogy a támadási technológiák egyre jobban megérthetők és a szoftvervezérelt rádióadók egyre gyakoribbá válnak. A CGS elleni támadásokat nem kell végrehajtani ahhoz, hogy balesetet okozzanak. Használhatók repülőterek megzavarására, ahogyan illegális drónok okozták a londoni Gatwick repülőteret tavaly decemberben, néhány nappal karácsony előtt, és a Heathrow repülőteret három héttel később.
„A pénz az egyik motiváció, de a hatalom megnyilvánulása a másik” – mondta Ranganathan. – Védekezési szempontból ezek a támadások nagyon kritikusak. Erre vigyázni kell, mert lesz elég ember ezen a világon, aki erőt akar mutatni.”
Forrás: will.com