飛行機が安全に着陸するために使用する無線ナビゲーション システムは安全ではなく、ハッキングされやすいものです。

飛行機が着陸帯を見つけるために使用する信号は、600ドルのトランシーバーを使って偽装することができます。

なりすまし信号による無線機への攻撃をデモする飛行機。 KGS 滑走路の右側に着陸する

単発のセスナであれ、50 席のジャンボジェットであれ、過去 600 年間に飛行したほぼすべての航空機は、空港に安全に着陸するために無線に頼ってきました。 これらの計器着陸システム (ILS) は、GPS や他のナビゲーション システムとは異なり、着陸位置に対する航空機の水平方向、縞模様、垂直降下角度に関する重要なリアルタイム情報を提供するため、高精度進入システムとみなされます。 多くの状況下、特に夜間に霧や雨の中で着陸する場合、航空機が滑走路の先頭とちょうど中央に確実に着陸できるようにするための主な方法は、依然としてこの無線ナビゲーションです。

過去に作成された他の多くのテクノロジーと同様、KGS はハッキングに対する保護を提供しませんでした。 無線信号は暗号化されていないため、その信憑性を検証することはできません。 パイロットは、自分のシステムが空港に割り当てられた周波数で受信する音声信号が、空港運営会社によって放送された実際の信号であると単純に想定しています。 長年にわたり、このセキュリティ上の欠陥は注目されませんでした。その主な理由は、信号スプーフィングのコストと難しさによって攻撃が無意味になったためです。

しかし現在、研究者らは低コストのハッキング手法を開発しており、産業界のほぼすべての民間空港で使用されているCGSのセキュリティに疑問を投げかけている。 600ドルのラジオを使う プログラム制御、研究者は空港信号を偽装して、パイロットの航法計器が飛行機がコースから外れていることを示すことができます。 訓練によれば、パイロットは降下速度や船舶の姿勢を修正する必要があり、それによって事故の危険が生じます。

攻撃手法の XNUMX つは、降下角度が実際よりも小さいという信号を偽装することです。 偽造されたメッセージには、いわゆるパイロットに降下角を増やすよう通知する「テイクダウン」信号。その結果、滑走路の開始前に航空機が接地する可能性があります。

このビデオには、着陸する飛行機に脅威を与える可能性のある改ざんされた信号が示されています。 攻撃者は、実際には飛行機が正確に中央にあるにもかかわらず、パイロットに自分の飛行機が滑走路の中心線の左側にいることを伝える信号を送信することができます。 パイロットは飛行機を右に引っ張ることで反応し、最終的には飛行機が横に流れてしまいます。

ボストンのノースイースタン大学の研究者らはパイロットや安全専門家と相談し、ほとんどの場合、このような信号のなりすましが墜落につながる可能性は低いと注意を払っている。 CGS の誤動作は安全上の危険として知られており、経験豊富なパイロットはそれらへの対応方法について広範な訓練を受けています。 晴天であれば、パイロットは機体が滑走路の中心線からずれていることに気づきやすく、回避することができます。

合理的な懐疑論のもう XNUMX つの理由は、攻撃の実行が難しいことです。 プログラム可能なラジオ局に加えて、指向性アンテナとアンプが必要になります。 ハッカーが飛行機から攻撃を開始したい場合、これらすべての機器を飛行機に密輸するのは非常に困難です。 地上から攻撃することにした場合、注目を集めずに着陸帯に装備を整列させるには多大な労力がかかるだろう。 さらに、空港は通常、敏感な周波数での干渉を監視しているため、攻撃が開始されてもすぐに停止される可能性があります。

2012年、研究者のブラッド・ヘインズ氏は、 レンダーマン, 露出した脆弱性 ADS-B (自動従属監視ブロードキャスト) システムでは、航空機は位置を特定し、他の航空機にデータを送信するために使用されます。 彼は、CGS 信号を実際にスプーフィングすることの難しさを次のように要約しました。

場所、隠された装備、悪天候、適切なターゲット、動機が高く、賢く、経済的に余裕のある攻撃者など、すべてが揃った場合、何が起こるでしょうか? 最悪の場合、航空機が芝生に着陸し、負傷または死亡する可能性がありますが、安全な航空機設計と迅速な対応チームにより、航空機全体の損失につながる大規模な火災が発生する可能性はほとんどありません。 このような場合、着陸は中断され、攻撃者はこれを繰り返すことができなくなります。 最良のシナリオでは、パイロットは矛盾に気づき、ズボンを汚し、高度を上げ、旋回し、CGS に何か問題があると報告します。空港は調査を開始します。これは、攻撃者がもう攻撃することを望まないことを意味します。近くにいてください。

したがって、すべてがうまく機能すれば、結果は最小限になります。 これを投資収益率と、1000ドルのドローンを持った一人の愚か者がヒースロー空港の周りをXNUMX日間飛行した場合の経済的影響と比較してください。 確かに、ドローンはそのような攻撃よりも効果的で実行可能な選択肢でした。

研究者らは、それでもリスクはあると述べ、滑空経路（飛行機が完璧に着陸する際にたどる仮想の線）内に着陸しない飛行機は、たとえ好天であっても発見するのがはるかに難しいとしている。 さらに、一部の混雑した空港では、遅延を避けるために、たとえ視界が悪い状況であっても、進入を逃した航空機に急いで入らないように指示しています。 説明書 米国の多くの空港が準拠している米国連邦航空局の着陸ガイドラインでは、そのような決定は高度 15 メートルのみで行う必要があると示されており、同様の指示がヨーロッパでも適用されます。 視覚的な周囲の状況が CGS からのデータと一致しない場合、パイロットは着陸を安全に中止する時間がほとんどありません。

「重要な着陸手順中に計器の故障を検出して回復することは、現代の航空分野で最も困難なタスクのXNUMXつです」と研究者らは論文に書いている。 仕事 「航空機グライドパスシステムに対する無線攻撃」と題され、 第28回USENIXセキュリティシンポジウム。 「一般的にパイロットが CGS や計器にどれほど依存しているかを考えると、特に自律進入や飛行運用中には、故障や悪意のある干渉が壊滅的な結果をもたらす可能性があります。」

KGS 障害が発生するとどうなるか

災害に近い着陸がいくつかあり、CGS の故障の危険性が実証されています。 2011年、ドイツのミュンヘン空港で乗客327名、乗務員143名を乗せたシンガポール航空SQ15便が滑走路上空10メートルで突然左に傾いた。 ボーイング777-300型機は着陸後、左に方向を変え、さらに右旋回して中心線を越え、滑走路右側の草むらに着陸装置を入れた状態で停止した。

В 報告 この事件について、ドイツ連邦航空機事故調査委員会が発表した資料には、飛行機が着陸地点から500メートル逸脱したと書かれており、捜査関係者らは、事件の犯人の一つは、撮影によるローカライザー着陸ビーコン信号の歪みであると述べた。飛行機外。 死傷者は報告されていないものの、この出来事はCGSシステムの障害の深刻さを浮き彫りにした。 CGS の故障に関連し、ほとんど悲劇的な結末を迎えた他の事故には、60 年のニュージーランド NZ 2000 便や 3531 年のライアンエア FR2013 便などがあります。ビデオでは、後者の場合何が問題だったのか説明しています。

ヴァイバブ・シャルマ氏はシリコンバレーの警備会社の世界的な事業を運営しており、2006年から小型飛行機を操縦している。 彼はアマチュア通信オペレーターの免許も持っており、民間航空パトロールのボランティアメンバーでもあり、そこでライフガードと無線オペレーターとして訓練を受けました。 彼は X-Plane シミュレーターで飛行機を操縦し、飛行機を滑走路の右側に着陸させる信号スプーフィング攻撃を実演しました。

シャルマさんは私たちにこう言いました。

CGS に対するこのような攻撃は現実的ですが、その有効性は攻撃者の航空ナビゲーション システムに関する知識や接近条件などの要因の組み合わせによって決まります。 適切に使用されれば、攻撃者は航空機を空港周囲の障害物に向けて方向転換することができますが、視界が悪い状況で実行された場合、パイロットチームが逸脱を検出して対処することが非常に困難になります。

同氏は、今回の攻撃は小型航空機と大型ジェット機の両方を脅かす可能性があるが、その理由は異なると述べた。 小型飛行機は低速で飛行します。 これによりパイロットに反応する時間が与えられます。 一方、大型ジェット機では、有害事象に対応できるようより多くの乗組員がおり、パイロットは通常、より頻繁で厳しい訓練を受けています。

同氏は、大小の飛行機にとって最も重要なことは、着陸時に周囲の状況、特に天候を評価することだと述べた。

「パイロットが着陸を成功させるために計器にもっと依存しなければならない場合、このような攻撃はより効果的になる可能性が高い」とシャルマ氏は述べた。 「視界が悪い状況での夜間着陸、あるいは悪条件と混雑した空域の組み合わせによりパイロットはより多忙になり、自動化に大きく依存することになる可能性があります。」

攻撃の開発に協力したノースイースタン大学の研究者、アアンジャン ランガナサン氏は、CGS が失敗した場合に役立つ GPS に頼ることはほとんどできないと語った。 効果的ななりすまし攻撃における滑走路からの逸脱は 10 ～ 15 メートルの範囲になります。これより大きなものはパイロットや航空管制官に視認できるからです。 GPS はそのような逸脱を検出するのが非常に困難です。 XNUMX 番目の理由は、GPS 信号を偽装するのが非常に簡単であるということです。

「CGS のなりすましと並行して GPS もなりすますことができます」とランガナサン氏は言いました。 「問題は攻撃者の動機の程度です。」

KGSの前身

KGSテストが始まりました 1929年に戻る、最初の実用的なシステムは 1932 年にドイツのベルリン テンペルホーフ空港に配備されました。

KGS は依然として最も効果的な着陸システムの XNUMX つです。 他のアプローチとしては、例えば、 全方位方位ビーコン、ロケーター ビーコン、全地球測位システム、および同様の衛星ナビゲーション システムは、水平方向または横方向の方向しか提供しないため、不正確であると考えられています。 KGS は、水平方向と垂直方向 (グライド パス) の両方の方向を提供するため、正確なランデブー システムと考えられています。 近年、不正確なシステムが使用されることはますます少なくなっています。 CGS は自動操縦や自動着陸システムとの関連性が高まってきました。

CGS の仕組み: ローカライザー [ローカライザー]、グライド スロープ [グライドスロープ]、マーカー ビーコン [マーカー ビーコン]

CGS には XNUMX つの主要なコンポーネントがあります。 ローカライザーは、飛行機が滑走路の中心線から左右にオフセットしているかどうかをパイロットに伝え、グライド スロープは、降下角が高すぎて飛行機が滑走路の開始点を見逃すかどうかをパイロットに伝えます。 XNUMX 番目のコンポーネントはマーカー ビーコンです。 これらは、パイロットが滑走路までの距離を決定できるようにするマーカーとして機能します。 長年にわたり、それらは GPS やその他のテクノロジーに取って代わられることが増えてきました。

ローカライザーは 90 組のアンテナを使用し、着陸ストリップの 150 つに割り当てられた周波数で、XNUMX つの異なるピッチの音 (XNUMX つは XNUMX Hz、もう XNUMX つは XNUMX Hz) を発します。 アンテナ アレイは滑走路の両側 (通常は離陸点の後に) に設置されており、着陸する航空機が滑走路の中心線の真上にあるときに音が打ち消されます。 偏差インジケーターの中央に縦線が表示されます。

航空機が右に方向転換すると、150 Hz の音が徐々に聞こえるようになり、偏向インジケーターのポインターが中心から左に移動します。 機体が左に方向転換すると、90 Hz の音が聞こえるようになり、ポインタが右に移動します。 もちろん、ローカライザーは航空機の姿勢の視覚的制御を完全に置き換えることはできませんが、方向を決定するための重要かつ非常に直感的な手段を提供します。 パイロットはポインタを中心に置いて飛行機を中心線の真上に保つだけで済みます。

グライド スロープはほぼ同じように機能しますが、滑走路の開始点に対する航空機の降下角度を示す点のみが異なります。 飛行機の角度が低すぎると、90 Hz の音が聞こえるようになり、計器は飛行機が降下するように指示します。 降下が急すぎる場合、150 Hz の信号が飛行機がより高く飛行する必要があることを示します。 航空機が規定のグライドパス角約 XNUMX 度に留まると、信号は打ち消されます。 XNUMX つのグライド パス アンテナは、特定の空港に適したグライド スロープ角度によって決定される特定の高さのタワーに設置されています。 タワーは通常、ストリップ接触領域の近くに配置されます。

完璧な偽物

ノースイースタン大学の研究者らの攻撃では、市販のソフトウェア無線送信機が使用されています。 これらの装置は 400 ～ 600 ドルで販売されており、空港の SSC から送信される本物の信号を装った信号を送信します。 攻撃者の送信機は、攻撃された航空機の機内と空港から最大 5 km 離れた地上の両方に設置されている可能性があります。 攻撃者の信号が実際の信号のパワーを超えている限り、KGS 受信機は攻撃者の信号を感知し、攻撃者が計画した垂直および水平飛行経路に対する方向を実証します。

交換が適切に行われていない場合、パイロットは計器の測定値が突然または不規則に変化することに気づき、CGS の故障と誤解する可能性があります。 偽物を認識しにくくするために、攻撃者は次の方法を使用して航空機の正確な位置を明らかにできます。 ADS-V、航空機の GPS 位置、高度、対地速度、その他のデータを地上局や他の船舶に毎秒送信するシステム。

この情報を使用すると、攻撃者は、接近する航空機が滑走路に対して左または右に移動したときに信号のなりすましを開始し、航空機が水平に進んでいるという信号を攻撃者に送信することができます。 攻撃に最適なタイミングは、記事の冒頭のデモビデオで示されているように、航空機がウェイポイントを通過したときです。

その後、攻撃者はリアルタイムの信号修正および生成アルゴリズムを適用し、悪意のある信号を継続的に調整して、正しい経路からのオフセットが航空機のすべての動きと一致するようにすることができます。 たとえ攻撃者に完璧な偽信号を作るスキルがなかったとしても、パイロットがそれに頼って着陸できなくなるほど CGS を混乱させる可能性があります。

信号スプーフィングの一種は「シャドウイング攻撃」として知られています。 攻撃者は、空港の送信機からの信号よりも大きな出力で特別に準備された信号を送信します。 通常、攻撃者の送信機はこれを行うために 20 ワットの電力を送信する必要があります。 シャドーイング攻撃により、信憑性のある信号のなりすましが容易になります。

シャドウアタック

信号を置き換える XNUMX 番目のオプションは、「ワントーン攻撃」として知られています。 空港のKGSよりも少ない電力で同じ周波数の音を飛ばすことができるのが利点です。 これにはいくつかの欠点があります。たとえば、攻撃者は航空機の詳細 (CGS アンテナの位置など) を正確に知る必要があります。

単音攻撃

簡単な解決策はない

研究者らは、なりすまし攻撃の脅威を排除する方法はまだないと述べている。 全方位方位ビーコン、ロケータ ビーコン、全地球測位システム、および同様の衛星ナビゲーション システムなどの代替ナビゲーション テクノロジは、認証メカニズムを持たない無線信号であるため、スプーフィング攻撃を受けやすいです。 さらに、水平および垂直進入軌道に関する情報を提供できるのは、KGS と GPS だけです。

研究者たちは研究の中で次のように書いています。

などのテクノロジーが直面するセキュリティ問題のほとんどは、 ADS-V, ACARS и TCAS、暗号化を導入することで修正できます。 ただし、暗号化だけではローカリゼーション攻撃を防ぐのに十分ではありません。 たとえば、GPS 信号の暗号化は、軍用ナビゲーション技術と同様に、なりすまし攻撃をある程度防ぐことができます。 それでも、攻撃者は必要な時間遅延を加えて GPS 信号をリダイレクトし、位置または時刻の置き換えを達成することができます。 GPS スプーフィング攻撃を軽減し、受信側で同様のシステムを作成することに関する既存の文献からインスピレーションを得ることができます。 代替案は、距離制限と安全な近接確認技術に基づいた大規模で安全な位置特定システムを実装することです。 ただし、これには双方向の通信が必要であり、拡張性や実現可能性などについてさらなる検討が必要です。

米連邦航空局は、研究者らのデモンストレーションについてコメントするのに十分な情報がないと述べた。

この攻撃とこれまでに行われた大量の研究は印象深いものですが、この研究の主な疑問は未解決のままです。それは、誰かが実際にそのような攻撃をわざわざ実行する可能性がどのくらいあるのかということです。 ハッカーがユーザーのコンピュータにマルウェアをリモートでインストールしたり、一般的な暗号化システムをバイパスしたりできる脆弱性など、他の種類の脆弱性は簡単に収益化できます。 CGS スプーフィング攻撃の場合はこれには当てはまりません。 ペースメーカーやその他の医療機器に対する生命を脅かす攻撃もこのカテゴリに分類されます。

このような攻撃の動機は分かりにくいですが、その可能性を無視するのは間違いです。 で 報告世界的な紛争と国家間の安全保障を担当する非営利団体C4ADSが65月に発表した論文によると、ロシア連邦が船舶の航法システムをXNUMXマイル以上航路から外す原因となったGPSシステムの中断に関する大規模な試験を頻繁に行っていたことが判明した[実際、報告書によれば、クリミア橋の開通中（つまり、「頻繁に」ではなく、一度だけ）、全地球航法システムがこの橋に設置された送信機によって破壊され、その作動が近くでも感じられたという。アナパはこの場所から 65 km (マイルではありません) にあります。 「そして、すべてが真実です」 (c) / 約。 翻訳].

「ロシア連邦は、地球規模のナビゲーションシステムを欺く能力の開発と開発において、比較優位を持っている」と報告書は警告している。 「しかし、このようなテクノロジーは低コストでオープンに利用でき、使いやすいため、国家だけでなく、反政府勢力、テロリスト、犯罪者にも国家および非国家のネットワークを不安定化させる十分な機会を提供します。」

また、CGS スプーフィングは 2019 年には難解に思えますが、攻撃テクノロジーの理解が深まり、ソフトウェア制御の無線送信機がより一般的になるにつれて、今後数年でさらに一般的になるだろうと考えるのは決して突飛な話ではありません。 事故を引き起こすために CGS への攻撃を実行する必要はありません。 昨年XNUMX月に違法ドローンがクリスマスの数日前にロンドンのガトウィック空港を閉鎖させ、そのXNUMX週間後にヒースロー空港を閉鎖させたように、空港の混乱に利用できる。

「お金は動機の一つですが、権力の誇示は別の動機です」とランガナタン氏は語った。 – 防御の観点から見ると、これらの攻撃は非常に重要です。 この世界には強さを示したいと思う人がたくさんいるだろうから、これには気を配る必要がある。」

出所： habr.com