Het signaal dat vliegtuigen gebruiken om een landingsbaan te vinden, kan worden nagebootst met een walkietalkie van $ 600.
Een vliegtuig dat een aanval op een radio demonstreert vanwege vervalste signalen. landt rechts van de landingsbaan
Bijna elk vliegtuig dat de afgelopen vijftig jaar heeft gevlogen – of het nu een eenmotorige Cessna of een jumbojet met 50 zitplaatsen is – heeft op radio’s vertrouwd om veilig op luchthavens te kunnen landen. Deze instrumentlandingssystemen (ILS) worden beschouwd als precisienaderingssystemen omdat ze, in tegenstelling tot GPS en andere navigatiesystemen, essentiële realtime-informatie verschaffen over de horizontale oriëntatie van het vliegtuig ten opzichte van de landingspositie, de streep en de verticale daalhoek. Onder veel omstandigheden - vooral bij het landen in mist of regen 's nachts - blijft deze radionavigatie de belangrijkste manier om ervoor te zorgen dat het vliegtuig aan het begin van de landingsbaan en precies in het midden landt.
Net als veel andere technologieën die in het verleden zijn ontwikkeld, bood KGS geen bescherming tegen hacking. Radiosignalen zijn niet gecodeerd en de authenticiteit ervan kan niet worden geverifieerd. Piloten gaan er simpelweg van uit dat de audiosignalen die hun systemen ontvangen op de toegewezen frequentie van de luchthaven echte signalen zijn die door de luchthavenexploitant worden uitgezonden. Jarenlang bleef dit beveiligingslek onopgemerkt, grotendeels omdat de kosten en de moeilijkheid van signaalspoofing aanvallen zinloos maakten.
Maar nu hebben onderzoekers een goedkope hackmethode ontwikkeld die vragen oproept over de veiligheid van de CGS die op vrijwel elke civiele luchthaven in de industriële wereld wordt gebruikt. Met behulp van een radio van $ 600 kunnen onderzoekers luchthavensignalen spoofen, zodat de navigatie-instrumenten van de piloot aangeven dat het vliegtuig uit koers is. Volgens de opleiding moet de loods de daalsnelheid of de stand van het schip corrigeren, waardoor het risico op een ongeval ontstaat.
Eén aanvalstechniek is het vervalsen van signalen dat de daalhoek kleiner is dan deze in werkelijkheid is. Het vervalste bericht bevat het zogenaamde Een "take down" -signaal dat de piloot informeert dat hij de daalhoek moet vergroten, wat er mogelijk toe kan leiden dat het vliegtuig vóór het begin van de landingsbaan landt.
De video toont een anderszins gemanipuleerd signaal dat een bedreiging zou kunnen vormen voor een vliegtuig dat landt. Een aanvaller kan een signaal sturen om de piloot te vertellen dat zijn vliegtuig zich links van de middenlijn van de baan bevindt, terwijl het vliegtuig in feite precies gecentreerd is. De piloot zal reageren door het vliegtuig naar rechts te trekken, waardoor het uiteindelijk naar de zijkant zal afdrijven.
Onderzoekers van de Northeastern University in Boston hebben een piloot en een veiligheidsexpert geraadpleegd en merken op dat dergelijke signaalspoofing in de meeste gevallen waarschijnlijk niet tot een crash zal leiden. CGS-storingen vormen een bekend veiligheidsrisico en ervaren piloten krijgen uitgebreide training over hoe ze hierop moeten reageren. Bij helder weer zal het voor een piloot gemakkelijk zijn om op te merken dat het vliegtuig niet op één lijn ligt met de middenlijn van de landingsbaan, en zal hij er omheen kunnen rijden.
Een andere reden voor redelijk scepticisme is de moeilijkheid om de aanval uit te voeren. Naast een programmeerbaar radiostation zijn richtantennes en een versterker nodig. Al deze apparatuur zou behoorlijk moeilijk in een vliegtuig te smokkelen zijn als een hacker vanuit het vliegtuig een aanval zou willen lanceren. Als hij besluit vanaf de grond aan te vallen, zal het veel werk kosten om de uitrusting op één lijn te brengen met de landingsbaan zonder de aandacht te trekken. Bovendien controleren luchthavens doorgaans op interferentie op gevoelige frequenties, wat zou kunnen betekenen dat een aanval kort na het begin wordt gestopt.
In 2012 ontdekte onderzoeker Brad Haynes, bekend als , in het ADS-B-systeem (Automatic Dependent Surveillance-Broadcast), dat vliegtuigen gebruiken om hun locatie te bepalen en gegevens naar andere vliegtuigen te verzenden. Hij vatte de moeilijkheden bij het daadwerkelijk vervalsen van CGS-signalen als volgt samen:
Als alles samenkomt – locatie, verborgen uitrusting, slechte weersomstandigheden, een geschikt doelwit, een goed gemotiveerde, slimme en financieel sterke aanvaller – wat gebeurt er dan? In het ergste geval landt het vliegtuig op het gras en is letsel of overlijden mogelijk, maar veilig vliegtuigontwerp en snelle responsteams zorgen ervoor dat de kans op een enorme brand zeer klein is, waardoor het hele vliegtuig verloren gaat. In een dergelijk geval wordt de landing opgeschort en kan de aanvaller dit niet meer herhalen. In het beste geval zal de piloot de discrepantie opmerken, vlekken in zijn broek maken, de hoogte vergroten, rondgaan en melden dat er iets mis is met de CGS - de luchthaven zal een onderzoek beginnen, wat betekent dat de aanvaller niet langer wil blijf in de buurt.
Dus als alles samenkomt, zal het resultaat minimaal zijn. Vergelijk dit eens met de verhouding tussen rendement en investering en de economische impact van één idioot die met een drone van $1000 twee dagen lang rond Heathrow Airport vliegt. Een drone was zeker een effectievere en werkbare optie dan een dergelijke aanval.
Toch zeggen onderzoekers dat er risico's zijn: vliegtuigen die niet binnen het glijpad landen – de denkbeeldige lijn die een vliegtuig volgt tijdens een perfecte landing – zijn veel moeilijker te detecteren, zelfs bij mooi weer. Bovendien geven sommige drukke luchthavens, om vertragingen te voorkomen, vliegtuigen de opdracht om niet in een gemiste nadering te komen, zelfs niet bij slecht zicht. landingsrichtlijnen van de Amerikaanse Federal Aviation Administration, die veel Amerikaanse luchthavens volgen, geven aan dat een dergelijke beslissing moet worden genomen op een hoogte van slechts 15 m. Soortgelijke instructies gelden in Europa. Ze laten de piloot heel weinig tijd om de landing veilig af te breken als de visuele omgevingsomstandigheden niet samenvallen met de gegevens van de CGS.
“Het detecteren en herstellen van instrumentstoringen tijdens kritieke landingsprocedures is een van de meest uitdagende taken in de moderne luchtvaart”, schreven de onderzoekers in hun paper. getiteld “Draadloze aanvallen op glijpadsystemen van vliegtuigen”, aangenomen te . “Gezien hoe sterk piloten afhankelijk zijn van CGS en instrumenten in het algemeen, kunnen mislukkingen en kwaadwillige inmenging catastrofale gevolgen hebben, vooral tijdens autonome naderings- en vluchtoperaties.”
Wat gebeurt er met KGS-storingen
Verschillende bijna-ramplandingen tonen de gevaren van CGS-storingen aan. In 2011 maakte vlucht SQ327 van Singapore Airlines, met 143 passagiers en 15 bemanningsleden aan boord, plotseling een bocht naar links terwijl hij zich 10 meter boven de landingsbaan op de luchthaven van München in Duitsland bevond. Na de landing maakte de Boeing 777-300 een bocht naar links, vervolgens naar rechts, passeerde de middenlijn en kwam met het landingsgestel in het gras rechts van de landingsbaan tot stilstand.
В over het incident, gepubliceerd door de Duitse Federale Onderzoekscommissie voor Vliegtuigongevallen, staat geschreven dat het vliegtuig het landingspunt op 500 m miste. Onderzoekers zeiden dat een van de boosdoeners bij het incident de vervorming van de signalen van het localizer-landingsbaken was door de opname uit het vliegtuig. Hoewel er geen slachtoffers vielen, onderstreepte de gebeurtenis de ernst van het falen van de CGS-systemen. Andere incidenten met CGS-storingen die bijna tragisch eindigden, zijn onder meer de Nieuw-Zeelandse vlucht NZ 60 in 2000 en Ryanair-vlucht FR3531 in 2013. De video legt uit wat er in het laatste geval mis ging.
Vaibhab Sharma leidt de wereldwijde activiteiten van het beveiligingsbedrijf uit Silicon Valley en vliegt sinds 2006 met kleine vliegtuigen. Hij heeft ook een licentie voor amateurcommunicatie en is vrijwillig lid van de Civil Air Patrol, waar hij werd opgeleid tot badmeester en radio-operator. Hij bestuurt een vliegtuig in de X-Plane-simulator en demonstreert een signaalspoofing-aanval waardoor het vliegtuig rechts van de landingsbaan landt.
Sharma vertelde ons:
Een dergelijke aanval op de CGS is realistisch, maar de effectiviteit ervan zal afhangen van een combinatie van factoren, waaronder de kennis van de aanvaller van luchtvaartnavigatiesystemen en de omstandigheden bij de nadering. Bij correct gebruik kan een aanvaller het vliegtuig omleiden naar obstakels rondom de luchthaven. Als dit wordt gedaan bij slecht zicht, zal het voor het pilotenteam erg moeilijk zijn om afwijkingen op te sporen en aan te pakken.
Hij zei dat de aanvallen het potentieel hebben om zowel kleine vliegtuigen als grote straalvliegtuigen te bedreigen, maar om verschillende redenen. Kleine vliegtuigen reizen met lagere snelheden. Dit geeft piloten de tijd om te reageren. Grote straalvliegtuigen hebben daarentegen meer bemanningsleden beschikbaar om te reageren op ongunstige gebeurtenissen, en hun piloten krijgen doorgaans vaker en intensiever training.
Hij zei dat het belangrijkste voor grote en kleine vliegtuigen het beoordelen van de omgevingsomstandigheden, met name het weer, tijdens de landing zal zijn.
“Een aanval als deze zal waarschijnlijk effectiever zijn als de piloten meer op de instrumenten moeten vertrouwen om een succesvolle landing te maken”, aldus Sharma. “Dit kunnen nachtlandingen zijn bij slecht zicht, of een combinatie van slechte omstandigheden en een druk luchtruim waardoor piloten het drukker moeten hebben, waardoor ze sterk afhankelijk zijn van automatisering.”
Aanjan Ranganathan, een onderzoeker aan de Northeastern University die heeft geholpen bij de ontwikkeling van de aanval, vertelde ons dat je weinig kunt vertrouwen op GPS om je te helpen als de CGS faalt. Afwijkingen van de landingsbaan bij een effectieve spoofaanval zullen variëren van 10 tot 15 meter, aangezien alles wat groter is zichtbaar zal zijn voor piloten en luchtverkeersleiders. GPS zal grote moeite hebben om dergelijke afwijkingen te detecteren. De tweede reden is dat het heel gemakkelijk is om GPS-signalen te vervalsen.
“Ik kan de GPS spoofen, parallel met de spoofing van de CGS,” zei Ranganathan. “De hele vraag is de mate van motivatie van de aanvaller.”
Voorloper van de KGS
KGS-tests zijn begonnen , en het eerste werkende systeem werd in 1932 ingezet op de Duitse luchthaven Berlin-Tempelhof.
KGS blijft een van de meest effectieve landingssystemen. Andere benaderingen, bijvoorbeeld locatorbaken, mondiaal positioneringssysteem en soortgelijke satellietnavigatiesystemen worden als onnauwkeurig beschouwd omdat ze alleen horizontale of laterale oriëntatie bieden. De KGS wordt beschouwd als een nauwkeurig rendez-vous-systeem, omdat het zowel horizontale als verticale (glijpad) oriëntatie biedt. De laatste jaren worden steeds minder onnauwkeurige systemen gebruikt. CGS werd steeds meer geassocieerd met stuurautomaten en automatische landingssystemen.
Hoe de CGS werkt: localizer [localizer], glide slope [glideslope] en markeringsbakens [markeringsbaken]
De CGS bestaat uit twee belangrijke componenten. De localizer vertelt de piloot of het vliegtuig links of rechts van de middellijn van de baan is verschoven, en de glijhelling vertelt de piloot of de daalhoek te groot is om het vliegtuig het begin van de baan te laten missen. Het derde onderdeel zijn markeringsbakens. Ze fungeren als markeringen waarmee de piloot de afstand tot de landingsbaan kan bepalen. In de loop der jaren zijn ze steeds vaker vervangen door GPS en andere technologieën.
De localizer maakt gebruik van twee sets antennes, die twee verschillende geluidshoogtes uitzenden - één op 90 Hz en de andere op 150 Hz - en met een frequentie die is toegewezen aan een van de landingsbanen. Antenne-arrays bevinden zich aan weerszijden van de baan, meestal na het startpunt, zodat de geluiden worden gecompenseerd wanneer het landende vliegtuig zich direct boven de hartlijn van de baan bevindt. De afwijkingsindicator toont een verticale lijn in het midden.
Als het vliegtuig naar rechts afbuigt, wordt het 150 Hz-geluid steeds hoorbaarder, waardoor de afwijkingsindicatorwijzer naar links van het midden beweegt. Als het vliegtuig naar links afbuigt, wordt het 90 Hz-geluid hoorbaar en beweegt de wijzer naar rechts. Een localizer kan de visuele controle van de stand van een vliegtuig uiteraard niet volledig vervangen; het biedt een belangrijk en zeer intuïtief oriëntatiemiddel. Piloten hoeven alleen maar de wijzer gecentreerd te houden om het vliegtuig precies boven de middellijn te houden.
Het glijpad werkt op vrijwel dezelfde manier, alleen toont het de daalhoek van het vliegtuig ten opzichte van het begin van de landingsbaan. Wanneer de hoek van het vliegtuig te klein is, wordt het 90 Hz-geluid hoorbaar en geven de instrumenten aan dat het vliegtuig moet dalen. Wanneer de afdaling te scherp is, geeft een signaal op 150 Hz aan dat het vliegtuig hoger moet vliegen. Wanneer het vliegtuig op de voorgeschreven glijpadhoek van ongeveer drie graden blijft, vallen de signalen weg. Twee glijpadantennes bevinden zich op een bepaalde hoogte op de toren, bepaald door de glijpadhoek die geschikt is voor een bepaalde luchthaven. De toren bevindt zich meestal dicht bij het contactgebied van de strip.
Perfecte nep
De aanval van de Northeastern University-onderzoekers maakt gebruik van in de handel verkrijgbare softwareradiozenders. Deze apparaten, die voor tussen de $400 en $600 worden verkocht, zenden signalen uit die zich voordoen als echte signalen, verzonden door de SSC van de luchthaven. De zender van de aanvaller kan zich zowel aan boord van het aangevallen vliegtuig als op de grond bevinden, op een afstand van maximaal 5 km van de luchthaven. Zolang het signaal van de aanvaller de kracht van het echte signaal overschrijdt, zal de KGS-ontvanger het signaal van de aanvaller waarnemen en de oriëntatie demonstreren ten opzichte van de door de aanvaller geplande verticale en horizontale vliegroute.
Als de vervanging slecht is georganiseerd, zal de piloot plotselinge of grillige veranderingen in de instrumentaflezingen zien, die hij zal aanzien voor een storing van de CGS. Om de nep moeilijker te herkennen, kan een aanvaller de exacte locatie van het gebruikte vliegtuig verduidelijken , een systeem dat elke seconde de GPS-locatie, hoogte, grondsnelheid en andere gegevens van een vliegtuig naar grondstations en andere schepen verzendt.
Met behulp van deze informatie kan een aanvaller het signaal gaan spoofen wanneer een naderend vliegtuig naar links of rechts ten opzichte van de landingsbaan is bewogen, en een signaal naar de aanvaller sturen dat het vliegtuig horizontaal vliegt. Het optimale moment om aan te vallen zou zijn wanneer het vliegtuig net het waypoint is gepasseerd, zoals te zien is in de demonstratievideo aan het begin van het artikel.
De aanvaller kan vervolgens een real-time signaalcorrectie- en generatiealgoritme toepassen dat het kwaadaardige signaal voortdurend aanpast om ervoor te zorgen dat de afwijking van het juiste pad consistent is met alle bewegingen van het vliegtuig. Zelfs als de aanvaller niet over de vaardigheid beschikt om een perfect nepsignaal te geven, kan hij de CGS zo in de war brengen dat de piloot er niet op kan vertrouwen om te landen.
Een variant van signaalspoofing staat bekend als een 'schaduwaanval'. De aanvaller zendt speciaal voorbereide signalen uit met een vermogen dat groter is dan de signalen van de luchthavenzender. Om dit te doen, heeft de zender van een aanvaller doorgaans 20 watt aan vermogen nodig. Schaduwaanvallen maken het gemakkelijker om een signaal op overtuigende wijze te vervalsen.
Schaduw aanval
De tweede optie voor het vervangen van een signaal staat bekend als een ‘één-toonaanval’. Het voordeel is dat het mogelijk is om geluid met dezelfde frequentie te verzenden met een vermogen dat kleiner is dan dat van de KGS van de luchthaven. Het heeft verschillende nadelen: de aanvaller moet bijvoorbeeld precies de details van het vliegtuig weten, bijvoorbeeld de locatie van de CGS-antennes.
Enkelvoudige aanval
Geen gemakkelijke oplossingen
Onderzoekers zeggen dat er nog geen manier is om de dreiging van spoofing-aanvallen te elimineren. Alternatieve navigatietechnologieën – waaronder omnidirectioneel azimutbaken, locatorbaken, mondiaal positioneringssysteem en soortgelijke satellietnavigatiesystemen – zijn draadloze signalen die geen authenticatiemechanisme hebben en daarom vatbaar zijn voor spoofing-aanvallen. Bovendien kunnen alleen KGS en GPS informatie geven over het horizontale en verticale naderingstraject.
In hun werk schrijven de onderzoekers:
De meeste beveiligingsproblemen waarmee technologieën zoals , и , kan worden opgelost door cryptografie te introduceren. Cryptografie zal echter niet voldoende zijn om lokalisatieaanvallen te voorkomen. Zo kan GPS-signaalversleuteling, vergelijkbaar met militaire navigatietechnologie, tot op zekere hoogte spoofing-aanvallen voorkomen. Toch zal de aanvaller in staat zijn om GPS-signalen om te leiden met de tijdsvertragingen die hij nodig heeft, en locatie- of tijdvervanging te bewerkstelligen. Inspiratie kan worden gehaald uit bestaande literatuur over het beperken van GPS-spoofing-aanvallen en het creëren van soortgelijke systemen aan de ontvangerzijde. Een alternatief zou zijn om een grootschalig veilig lokalisatiesysteem te implementeren, gebaseerd op afstandslimieten en veilige nabijheidsbevestigingstechnieken. Dit zou echter tweerichtingscommunicatie vereisen en verder onderzoek naar schaalbaarheid, haalbaarheid, enz. vereisen.
De Amerikaanse Federal Aviation Administration zei dat het niet genoeg informatie had over de demonstratie van de onderzoekers om commentaar te geven.
Deze aanval en de aanzienlijke hoeveelheid onderzoek die is gedaan zijn indrukwekkend, maar de hoofdvraag van het werk blijft onbeantwoord: hoe waarschijnlijk is het dat iemand daadwerkelijk bereid is de moeite te nemen een dergelijke aanval uit te voeren? Andere soorten kwetsbaarheden, zoals die waardoor hackers op afstand malware op de computers van gebruikers kunnen installeren of populaire encryptiesystemen kunnen omzeilen, zijn gemakkelijk te gelde te maken. Bij een CGS-spoofing-aanval is dit niet het geval. Levensbedreigende aanvallen op pacemakers en andere medische apparaten vallen ook in deze categorie.
Hoewel de motivatie voor dergelijke aanvallen moeilijker te begrijpen is, zou het een vergissing zijn om de mogelijkheid ervan te verwerpen. IN , gepubliceerd in mei door C4ADS, een non-profitorganisatie die zich bezighoudt met mondiale conflicten en interstatelijke veiligheid, ontdekte dat de Russische Federatie regelmatig grootschalige tests uitvoerde van verstoringen van het GPS-systeem die ervoor zorgden dat de navigatiesystemen van schepen 65 mijl of meer uit de koers raakten [het rapport zegt zelfs dat tijdens de opening van de Krim-brug (dat wil zeggen niet “vaak”, maar slechts één keer) het mondiale navigatiesysteem werd neergehaald door een zender die zich op deze brug bevond, en dat zijn werk zelfs in de buurt van de Krim-brug werd gevoeld. Anapa, gelegen op 65 km (geen mijl) van deze plaats. “En dus is alles waar” (c) / ca. vertaling].
“De Russische Federatie heeft een comparatief voordeel bij het exploiteren en ontwikkelen van capaciteiten om mondiale navigatiesystemen te misleiden”, waarschuwt het rapport. “De lage kosten, de open beschikbaarheid en het gebruiksgemak van dergelijke technologieën bieden echter niet alleen staten, maar ook opstandelingen, terroristen en criminelen ruime mogelijkheden om staats- en niet-statelijke netwerken te destabiliseren.”
En hoewel CGS-spoofing anno 2019 esoterisch lijkt, is het nauwelijks vergezocht om te denken dat het de komende jaren steeds gebruikelijker zal worden naarmate aanvalstechnologieën beter worden begrepen en softwaregestuurde radiozenders steeds gebruikelijker worden. Aanvallen op de CGS hoeven niet te worden uitgevoerd om ongelukken te veroorzaken. Ze kunnen worden gebruikt om luchthavens te ontwrichten, zoals illegale drones afgelopen december de sluiting veroorzaakten van de Londense luchthaven Gatwick, een paar dagen voor Kerstmis, en van de luchthaven Heathrow drie weken later.
“Geld is één motivatie, maar machtsvertoon is een andere”, zei Ranganathan. – Vanuit defensief oogpunt zijn deze aanvallen zeer kritisch. Hier moet voor gezorgd worden, want er zullen genoeg mensen op deze wereld zijn die kracht willen tonen.”
Bron: www.habr.com