Il segnale utilizzato dagli aerei per trovare una pista di atterraggio può essere falsificato con un walkie-talkie da 600 dollari.
Un aereo che dimostra un attacco alla radio a causa di segnali falsificati. atterra a destra della pista
Quasi tutti gli aerei che hanno volato negli ultimi 50 anni, che si tratti di un Cessna monomotore o di un jumbo jet da 600 posti, hanno fatto affidamento sulle radio per atterrare in sicurezza negli aeroporti. Questi sistemi di atterraggio strumentale (ILS) sono considerati sistemi di avvicinamento di precisione perché, a differenza del GPS e di altri sistemi di navigazione, forniscono informazioni vitali in tempo reale sull'orientamento orizzontale dell'aereo rispetto alla posizione di atterraggio, alla striscia e all'angolo verticale di discesa. In molte condizioni, soprattutto in caso di atterraggio notturno in caso di nebbia o pioggia, questa radionavigazione rimane il modo principale per garantire che l'aereo atterri all'inizio della pista ed esattamente al centro.
Come molte altre tecnologie create in passato, KGS non forniva protezione contro gli attacchi hacker. I segnali radio non sono crittografati e la loro autenticità non può essere verificata. I piloti presumono semplicemente che i segnali audio che i loro sistemi ricevono sulla frequenza assegnata all'aeroporto siano segnali reali trasmessi dall'operatore aeroportuale. Per molti anni questa falla di sicurezza è passata inosservata, soprattutto perché il costo e la difficoltà dello spoofing del segnale hanno reso inutili gli attacchi.
Ma ora i ricercatori hanno sviluppato un metodo di hacking a basso costo che solleva interrogativi sulla sicurezza del CGS utilizzato praticamente in ogni aeroporto civile del mondo industriale. Usando una radio da $ 600 , i ricercatori possono falsificare i segnali aeroportuali in modo che gli strumenti di navigazione del pilota indichino che l'aereo è fuori rotta. Secondo l'addestramento, il pilota deve correggere la velocità di discesa o l'assetto della nave, creando così il rischio di un incidente.
Una tecnica di attacco consiste nel falsificare i segnali che l'angolo di discesa è inferiore a quello reale. Il messaggio contraffatto contiene il cosiddetto Un segnale di "abbattimento" che informa il pilota di aumentare l'angolo di discesa, con la possibilità che l'aereo atterri prima dell'inizio della pista.
Il video mostra un segnale altrimenti manomesso che potrebbe rappresentare una minaccia per un aereo in fase di atterraggio. Un attaccante può inviare un segnale dicendo al pilota che il suo aereo si trova a sinistra della linea centrale della pista, quando in realtà l'aereo è esattamente centrato. Il pilota reagirà tirando l'aereo a destra, cosa che alla fine lo farà scivolare di lato.
I ricercatori della Northeastern University di Boston si sono consultati con un pilota e un esperto di sicurezza e fanno attenzione a notare che nella maggior parte dei casi è improbabile che tale spoofing del segnale porti a un incidente. I malfunzionamenti del CGS rappresentano un noto pericolo per la sicurezza e i piloti esperti ricevono una formazione approfondita su come rispondere ad essi. Con tempo sereno, sarà facile per un pilota notare che l'aereo non è allineato con la linea centrale della pista e sarà in grado di girarci intorno.
Un altro motivo di ragionevole scetticismo è la difficoltà di eseguire l’attacco. Oltre a una stazione radio programmabile, saranno necessarie antenne direzionali e un amplificatore. Sarebbe abbastanza difficile introdurre di nascosto tutta questa attrezzatura su un aereo se un hacker volesse lanciare un attacco dall'aereo. Se decide di attaccare da terra, ci vorrà molto lavoro per allineare l'attrezzatura alla pista di atterraggio senza attirare l'attenzione. Inoltre, gli aeroporti in genere monitorano le interferenze sulle frequenze sensibili, il che potrebbe significare che un attacco viene fermato subito dopo il suo inizio.
Nel 2012, il ricercatore Brad Haynes, noto come , nel sistema ADS-B (Automatic Dependent Surveillance-Broadcast), che gli aerei utilizzano per determinare la loro posizione e trasmettere dati ad altri aerei. Ha riassunto le difficoltà legate allo spoofing effettivo dei segnali CGS come segue:
Se tutto funziona insieme - posizione, attrezzatura nascosta, cattive condizioni meteorologiche, un bersaglio adatto, un aggressore ben motivato, intelligente e finanziariamente autorizzato - cosa succede? Nel peggiore dei casi, l’aereo atterra sull’erba e sono possibili lesioni o morte, ma la progettazione sicura dell’aeromobile e le squadre di risposta rapida assicurano che ci siano pochissime possibilità che un enorme incendio con conseguente perdita dell’intero aereo. In tal caso, l'atterraggio verrà sospeso e l'attaccante non potrà più ripeterlo. Nel migliore dei casi, il pilota noterà la discrepanza, si macchierà i pantaloni, aumenterà l'altitudine, girerà intorno e segnalerà che qualcosa non va con il CGS: l'aeroporto inizierà un'indagine, il che significa che l'aggressore non vorrà più resta nelle vicinanze.
Quindi, se tutto va bene, il risultato sarà minimo. Confronta questo con il rapporto ritorno sull’investimento e l’impatto economico di un idiota con un drone da 1000 dollari che vola intorno all’aeroporto di Heathrow per due giorni. Certamente un drone era un’opzione più efficace e praticabile di un simile attacco.
Tuttavia, i ricercatori sostengono che ci sono dei rischi: gli aerei che non atterrano entro il percorso di planata – la linea immaginaria che un aereo segue durante un atterraggio perfetto – sono molto più difficili da rilevare, anche con il bel tempo. Inoltre, alcuni aeroporti trafficati, per evitare ritardi, impongono agli aerei di non affrettarsi in un mancato avvicinamento, anche in condizioni di scarsa visibilità. Le linee guida per l'atterraggio della Federal Aviation Administration statunitense, seguite da molti aeroporti statunitensi, indicano che tale decisione dovrebbe essere presa a soli 15 m di altitudine, istruzioni simili valgono anche in Europa. Lasciano al pilota pochissimo tempo per interrompere in sicurezza l'atterraggio se le condizioni visive circostanti non coincidono con i dati del CGS.
"Rilevare e recuperare eventuali guasti allo strumento durante le procedure di atterraggio critiche è uno dei compiti più impegnativi dell'aviazione moderna", hanno scritto i ricercatori nel loro articolo. dal titolo “Attacchi wireless ai sistemi di planata degli aerei”, adottato a . “Considerato quanto i piloti facciano affidamento sul CGS e sugli strumenti in generale, guasti e interferenze dannose possono avere conseguenze catastrofiche, soprattutto durante l’avvicinamento autonomo e le operazioni di volo”.
Cosa succede ai guasti di KGS
Diversi atterraggi quasi catastrofici dimostrano i pericoli dei fallimenti del CGS. Nel 2011, il volo SQ327 della Singapore Airlines, con 143 passeggeri e 15 membri dell'equipaggio a bordo, virò improvvisamente a sinistra mentre si trovava a 10 metri sopra la pista dell'aeroporto di Monaco in Germania. Dopo l'atterraggio, il Boeing 777-300 virò a sinistra, poi a destra, attraversò la linea centrale e si fermò con il carrello di atterraggio sull'erba a destra della pista.
В sull'incidente, pubblicato dalla Commissione federale tedesca per l'inchiesta sugli incidenti aerei, è scritto che l'aereo ha mancato il punto di atterraggio di 500 m Gli investigatori hanno affermato che uno dei colpevoli dell'incidente è stata la distorsione dei segnali del faro di atterraggio del localizzatore da parte della presa fuori dall'aereo. Sebbene non siano state segnalate vittime, l'evento ha sottolineato la gravità del guasto dei sistemi CGS. Altri incidenti riguardanti il guasto del CGS che si sono quasi conclusi tragicamente includono il volo Nuova Zelanda NZ 60 nel 2000 e il volo Ryanair FR3531 nel 2013. Il video spiega cosa è andato storto in quest'ultimo caso.
Vaibhab Sharma gestisce le operazioni globali della società di sicurezza della Silicon Valley e vola su piccoli aerei dal 2006. Possiede inoltre la licenza di operatore di telecomunicazioni amatoriale ed è membro volontario della Civil Air Patrol, dove ha studiato come bagnino e operatore radio. Fa volare un aereo nel simulatore X-Plane, dimostrando un attacco di spoofing del segnale che fa atterrare l'aereo a destra della pista.
Sharma ci ha detto:
Un simile attacco al CGS è realistico, ma la sua efficacia dipenderà da una combinazione di fattori, tra cui la conoscenza dell'attaccante dei sistemi di navigazione aerea e delle condizioni di avvicinamento. Se utilizzato correttamente, un aggressore sarà in grado di deviare l’aereo verso ostacoli che circondano l’aeroporto e, se fatto in condizioni di scarsa visibilità, sarà molto difficile per la squadra di piloti rilevare e gestire le deviazioni.
Ha detto che gli attacchi hanno il potenziale per minacciare sia piccoli aerei che grandi jet, ma per ragioni diverse. I piccoli aerei viaggiano a velocità inferiori. Ciò dà ai piloti il tempo di reagire. I jet di grandi dimensioni, d’altro canto, hanno più membri dell’equipaggio a disposizione per rispondere a eventi avversi e i loro piloti in genere ricevono una formazione più frequente e rigorosa.
Ha detto che la cosa più importante per gli aerei grandi e piccoli sarà valutare le condizioni circostanti, in particolare il tempo, durante l'atterraggio.
"Un attacco come questo sarà probabilmente più efficace quando i piloti dovranno fare maggiore affidamento sugli strumenti per effettuare un atterraggio di successo", ha detto Sharma. “Potrebbero trattarsi di atterraggi notturni in condizioni di scarsa visibilità, o di una combinazione di cattive condizioni e spazio aereo congestionato che richiede ai piloti di essere più occupati, lasciandoli fortemente dipendenti dall’automazione”.
Aanjan Ranganathan, un ricercatore della Northeastern University che ha contribuito a sviluppare l'attacco, ci ha detto che c'è poco da fare affidamento sul GPS per aiutarti se il CGS fallisce. Le deviazioni dalla pista in un attacco spoofing efficace varieranno dai 10 ai 15 metri, poiché qualsiasi cosa più grande sarà visibile ai piloti e ai controllori del traffico aereo. Il GPS avrà grandi difficoltà a rilevare tali deviazioni. Il secondo motivo è che è molto facile falsificare i segnali GPS.
"Posso falsificare il GPS parallelamente allo spoofing del CGS", ha detto Ranganathan. "L'intera questione è il grado di motivazione dell'aggressore."
Predecessore del KGS
I test KGS sono iniziati , e il primo sistema funzionante fu installato nel 1932 presso l'aeroporto tedesco di Berlino-Tempelhof.
KGS rimane uno dei sistemi di atterraggio più efficaci. Altri approcci, ad esempio, , localizzatore, sistema di posizionamento globale e sistemi di navigazione satellitare simili sono considerati imprecisi perché forniscono solo l'orientamento orizzontale o laterale. Il KGS è considerato un sistema di rendezvous accurato, poiché fornisce l'orientamento sia orizzontale che verticale (percorso di planata). Negli ultimi anni i sistemi imprecisi sono stati utilizzati sempre meno. CGS era sempre più associato agli autopiloti e ai sistemi di atterraggio automatico.
Come funziona il CGS: localizzatore [localizer], glidelope [glideslope] e marker beacon [marker beacon]
Il CGS ha due componenti chiave. Il localizzatore dice al pilota se l'aereo è spostato a sinistra o a destra rispetto alla linea centrale della pista, e la pendenza di planata dice al pilota se l'angolo di discesa è troppo alto perché l'aereo possa mancare l'inizio della pista. Il terzo componente sono i segnalatori luminosi. Fungono da indicatori che consentono al pilota di determinare la distanza dalla pista. Nel corso degli anni sono stati sempre più sostituiti dal GPS e da altre tecnologie.
Il localizzatore utilizza due serie di antenne, che emettono due diverse tonalità di suono - una a 90 Hz e l'altra a 150 Hz - e ad una frequenza assegnata a una delle piste di atterraggio. Gli array di antenne si trovano su entrambi i lati della pista, solitamente dopo il punto di decollo, in modo che i suoni si annullino quando l'aereo in atterraggio si trova direttamente sopra la linea centrale della pista. L'indicatore di deviazione mostra una linea verticale al centro.
Se l'aereo vira a destra, il suono a 150 Hz diventa sempre più udibile, facendo spostare l'indicatore dell'indicatore di deviazione a sinistra rispetto al centro. Se l'aereo vira a sinistra, il suono a 90 Hz diventa udibile e il puntatore si sposta a destra. Un localizzatore, ovviamente, non può sostituire completamente il controllo visivo dell'assetto di un aereo; fornisce un mezzo di orientamento fondamentale e molto intuitivo. I piloti devono semplicemente mantenere il puntatore centrato per mantenere l'aereo esattamente sopra la linea centrale.
La pendenza di planata funziona più o meno allo stesso modo, solo che mostra l'angolo di discesa dell'aereo rispetto all'inizio della pista di atterraggio. Quando l'angolo dell'aereo è troppo basso, il suono a 90 Hz diventa udibile e gli strumenti indicano che l'aereo deve scendere. Quando la discesa è troppo brusca, un segnale a 150 Hz indica che l'aereo deve volare più in alto. Quando l'aereo rimane all'angolo di planata prescritto di circa tre gradi, i segnali si annullano. Due antenne del percorso di planata sono posizionate sulla torre ad una certa altezza, determinata dall'angolo di pendenza di planata adatto per un particolare aeroporto. La torre è solitamente situata vicino all'area di contatto della striscia.
Falso perfetto
L'attacco dei ricercatori della Northeastern University utilizza trasmettitori radio software disponibili in commercio. Questi dispositivi, venduti a 400-600 dollari, trasmettono segnali che fingono di essere segnali reali inviati dall'SSC dell'aeroporto. Il trasmettitore dell'attaccante può essere localizzato sia a bordo dell'aereo attaccato che a terra, ad una distanza massima di 5 km dall'aeroporto. Finché il segnale dell'attaccante supera la potenza del segnale reale, il ricevitore KGS percepirà il segnale dell'attaccante e dimostrerà l'orientamento rispetto alla traiettoria di volo verticale e orizzontale pianificata dall'attaccante.
Se la sostituzione non è organizzata correttamente, il pilota noterà cambiamenti improvvisi o irregolari nelle letture dello strumento, che scambierà per un malfunzionamento del CGS. Per rendere più difficile riconoscere il falso, un utente malintenzionato può chiarire l'esatta posizione dell'aereo utilizzando , un sistema che ogni secondo trasmette la posizione GPS, l'altitudine, la velocità al suolo e altri dati di un aereo alle stazioni di terra e ad altre navi.
Usando queste informazioni, un attaccante può iniziare a falsificare il segnale quando un aereo in avvicinamento si è spostato a sinistra o a destra rispetto alla pista e inviare un segnale all'attaccante che l'aereo sta procedendo in piano. Il momento ottimale per attaccare sarebbe quando l'aereo ha appena superato il waypoint, come mostrato nel video dimostrativo all'inizio dell'articolo.
L’aggressore può quindi applicare un algoritmo di correzione e generazione del segnale in tempo reale che regolerà continuamente il segnale dannoso per garantire che lo scostamento dal percorso corretto sia coerente con tutti i movimenti dell’aereo. Anche se l'attaccante non ha la capacità di effettuare un segnale falso perfetto, può confondere il CGS a tal punto che il pilota non può fare affidamento su di esso per atterrare.
Una variante dello spoofing del segnale è nota come "attacco shadowing". L'attaccante invia segnali appositamente preparati con una potenza maggiore dei segnali del trasmettitore dell'aeroporto. Per fare ciò, il trasmettitore di un utente malintenzionato dovrebbe in genere inviare 20 watt di potenza. Gli attacchi di shadowing rendono più semplice falsificare in modo convincente un segnale.
Attacco dell'ombra
La seconda opzione per sostituire un segnale è nota come “attacco a un tono”. Il suo vantaggio è che è possibile inviare il suono della stessa frequenza con una potenza inferiore a quella del KGS dell'aeroporto. Presenta diversi svantaggi, ad esempio l'aggressore deve conoscere esattamente le specifiche dell'aereo, ad esempio la posizione delle sue antenne CGS.
Attacco a tono singolo
Nessuna soluzione facile
I ricercatori affermano che non esiste ancora un modo per eliminare la minaccia degli attacchi di spoofing. Le tecnologie di navigazione alternative, tra cui il beacon azimutale omnidirezionale, il beacon di localizzazione, il sistema di posizionamento globale e sistemi di navigazione satellitare simili, sono segnali wireless che non dispongono di un meccanismo di autenticazione e sono quindi suscettibili ad attacchi di spoofing. Inoltre, solo KGS e GPS possono fornire informazioni sulla traiettoria di avvicinamento orizzontale e verticale.
Nel loro lavoro, i ricercatori scrivono:
La maggior parte dei problemi di sicurezza affrontati da tecnologie come , и , può essere risolto introducendo la crittografia. Tuttavia, la crittografia non sarà sufficiente a prevenire gli attacchi di localizzazione. Ad esempio, la crittografia del segnale GPS, simile alla tecnologia di navigazione militare, può prevenire in una certa misura gli attacchi di spoofing. Tuttavia, l'aggressore potrà reindirizzare i segnali GPS con il ritardo di cui ha bisogno e ottenere la sostituzione della posizione o dell'ora. Si può trarre ispirazione dalla letteratura esistente sulla mitigazione degli attacchi di spoofing GPS e sulla creazione di sistemi simili sul lato ricevente. Un’alternativa sarebbe quella di implementare un sistema di localizzazione sicuro su larga scala basato su limiti di distanza e tecniche sicure di conferma della prossimità. Tuttavia, ciò richiederebbe una comunicazione bidirezionale e ulteriori studi in merito a scalabilità, fattibilità, ecc.
La Federal Aviation Administration degli Stati Uniti ha affermato di non avere abbastanza informazioni sulla dimostrazione dei ricercatori per commentare.
Questo attacco e la notevole quantità di ricerche che sono state condotte sono impressionanti, ma la domanda principale del lavoro rimane senza risposta: quanto è probabile che qualcuno sia effettivamente disposto a prendersi la briga di portare a termine un simile attacco? Altri tipi di vulnerabilità, come quelle che consentono agli hacker di installare da remoto malware sui computer degli utenti o di aggirare i sistemi di crittografia più diffusi, sono facili da monetizzare. Questo non è il caso di un attacco di spoofing CGS. Rientrano in questa categoria anche gli attacchi potenzialmente letali a pacemaker e altri dispositivi medici.
Anche se la motivazione di tali attacchi è più difficile da individuare, sarebbe un errore ignorarne la possibilità. IN , pubblicato a maggio da C4ADS, un'organizzazione senza scopo di lucro che si occupa di conflitti globali e sicurezza interstatale, ha rilevato che la Federazione Russa è spesso impegnata in test su larga scala di interruzioni del sistema GPS che hanno causato il fuori rotta dei sistemi di navigazione delle navi di 65 miglia o più [infatti, il rapporto afferma che durante l'apertura del ponte di Crimea (cioè non "spesso", ma solo una volta), il sistema di navigazione globale è stato abbattuto da un trasmettitore situato su questo ponte, e il suo lavoro si è fatto sentire anche vicino Anapa, situata a 65 km (non miglia) da questo luogo. "E quindi tutto è vero" (c) / ca. traduzione].
“La Federazione Russa ha un vantaggio comparativo nello sfruttamento e nello sviluppo delle capacità per ingannare i sistemi di navigazione globali”, avverte il rapporto. “Tuttavia, il basso costo, la disponibilità e la facilità d’uso di tali tecnologie forniscono non solo agli stati, ma anche ai ribelli, ai terroristi e ai criminali ampie opportunità per destabilizzare le reti statali e non statali”.
E mentre lo spoofing CGS sembra esoterico nel 2019, non è affatto inverosimile pensare che diventerà più comune nei prossimi anni man mano che le tecnologie di attacco verranno meglio comprese e i trasmettitori radio controllati da software diventeranno più comuni. Non è necessario che vengano effettuati attacchi al CGS per causare incidenti. Possono essere utilizzati per disturbare gli aeroporti nello stesso modo in cui i droni illegali hanno causato la chiusura dell’aeroporto di Gatwick di Londra lo scorso dicembre, pochi giorni prima di Natale, e dell’aeroporto di Heathrow tre settimane dopo.
“Il denaro è una motivazione, ma la dimostrazione di potere è un’altra”, ha detto Ranganathan. – Dal punto di vista difensivo questi attacchi sono molto critici. Bisogna occuparsene perché ci saranno abbastanza persone in questo mondo che vorranno mostrare forza”.
Fonte: habr.com