Signalet som fly bruker for å finne en landingsstripe kan forfalskes med en walkie-talkie på $600.
Et fly som demonstrerer et angrep på en radio på grunn av falske signaler. lander til høyre for rullebanen
Nesten alle fly som har fløyet de siste 50 årene – det være seg en enmotors Cessna eller en 600-seters jumbojet – har vært avhengig av radioer for å lande trygt på flyplasser. Disse instrumentlandingssystemene (ILS) betraktes som presisjonsinnflygingssystemer fordi de, i motsetning til GPS og andre navigasjonssystemer, gir viktig sanntidsinformasjon om flyets horisontale orientering i forhold til landingsposisjonen, stripe og vertikal nedstigningsvinkel. Under mange forhold – spesielt når man lander i tåke eller regn om natten – er denne radionavigasjonen fortsatt den viktigste måten å sikre at flyet lander ved starten av rullebanen og nøyaktig i midten.
Som mange andre teknologier laget tidligere, ga ikke KGS beskyttelse mot hacking. Radiosignaler er ikke kryptert, og deres autentisitet kan ikke bekreftes. Piloter antar ganske enkelt at lydsignalene deres systemer mottar på flyplassens tildelte frekvens er ekte signaler som sendes av flyplassoperatøren. I mange år forble denne sikkerhetsfeilen ubemerket, hovedsakelig fordi kostnadene og vanskeligheten med signalspoofing gjorde angrep meningsløse.
Men nå har forskere utviklet en rimelig hackingmetode som reiser spørsmål om sikkerheten til CGS som brukes på praktisk talt alle sivile flyplasser i industriverdenen. Bruker en radio på $600 , kan forskere forfalske flyplasssignaler slik at pilotens navigasjonsinstrumenter indikerer at flyet er ute av kurs. I henhold til opplæring skal piloten korrigere nedstigningshastigheten eller fartøyets holdning, og dermed skape fare for en ulykke.
En angrepsteknikk er å falske signaler om at nedstigningsvinkelen er mindre enn den faktisk er. Den forfalskede meldingen inneholder den såkalte Et "take down"-signal som informerer piloten om å øke nedstigningsvinkelen, noe som muligens resulterer i at flyet berører ned før start av rullebanen.
Videoen viser et ellers tuklet signal som kan utgjøre en trussel mot et fly som kommer inn for å lande. En angriper kan sende et signal som forteller piloten at flyet hans er til venstre for rullebanens midtlinje, mens flyet faktisk er nøyaktig sentrert. Piloten vil reagere ved å trekke flyet til høyre, noe som til slutt vil føre til at det driver til siden.
Forskere fra Northeastern University i Boston rådførte seg med en pilot og en sikkerhetsekspert, og er nøye med å merke seg at slik signalforfalskning neppe vil føre til en krasj i de fleste tilfeller. CGS-feil er en kjent sikkerhetsrisiko, og erfarne piloter får omfattende opplæring i hvordan de skal reagere på dem. I klart vær vil det være lett for en pilot å legge merke til at flyet ikke er på linje med rullebanens senterlinje, og han vil kunne gå rundt.
En annen grunn til rimelig skepsis er vanskeligheten med å gjennomføre angrepet. I tillegg til en programmerbar radiostasjon, vil det kreves retningsantenner og en forsterker. Alt dette utstyret ville være ganske vanskelig å smugle inn på et fly hvis en hacker ville sette i gang et angrep fra flyet. Hvis han bestemmer seg for å angripe fra bakken, vil det kreve mye arbeid å stille utstyret på linje med landingsstripen uten å vekke oppmerksomhet. Dessuten overvåker flyplasser vanligvis for forstyrrelser på sensitive frekvenser, noe som kan bety at et angrep stoppes like etter at det begynner.
I 2012 forsker Brad Haynes, kjent som , i ADS-B (Automatic Dependent Surveillance-Broadcast)-systemet, som fly bruker for å finne sin plassering og overføre data til andre fly. Han oppsummerte vanskelighetene med å faktisk forfalske CGS-signaler som følger:
Hvis alt kommer sammen – plassering, skjult utstyr, dårlige værforhold, et passende mål, en godt motivert, smart og økonomisk dyktig angriper – hva skjer? I verste fall lander flyet på gresset og skade eller død er mulig, men sikker flydesign og raske responsteam sørger for at det er svært liten sjanse for en stor brann som resulterer i tap av hele flyet. I et slikt tilfelle vil landingen avbrytes, og angriperen vil ikke lenger kunne gjenta dette. I beste fall vil piloten legge merke til avviket, flekke buksene, øke høyden, gå rundt og rapportere at noe er galt med CGS - flyplassen vil starte en etterforskning, noe som betyr at angriperen ikke lenger vil ønske å bo i nærheten.
Så hvis alt kommer sammen, vil resultatet være minimalt. Sammenlign dette med avkastning-til-investering-forholdet og den økonomiske virkningen av en idiot med en drone på 1000 dollar som flyr rundt Heathrow flyplass i to dager. En drone var absolutt et mer effektivt og brukbart alternativ enn et slikt angrep.
Likevel sier forskere at det er risiko.Fly som ikke lander innenfor glidebanen – den imaginære linjen som et fly følger under en perfekt landing – er mye vanskeligere å oppdage, selv i godt vær. Dessuten instruerer noen travle flyplasser, for å unngå forsinkelser, fly om ikke å skynde seg inn i en avbrutt innflyging, selv under dårlige siktforhold. landingsretningslinjer fra US Federal Aviation Administration, som mange amerikanske flyplasser følger, tilsier at en slik beslutning bør tas i en høyde på kun 15 m. Tilsvarende instruksjoner gjelder i Europa. De gir piloten svært lite tid til å avbryte landingen på en sikker måte hvis de visuelle omgivelsesforholdene ikke sammenfaller med dataene fra CGS.
"Å oppdage og gjenopprette fra enhver instrumentfeil under kritiske landingsprosedyrer er en av de mest utfordrende oppgavene i moderne luftfart," skrev forskerne i papiret deres. med tittelen "Trådløse angrep på flyglibanesystemer", vedtatt kl . "Gitt hvor sterkt piloter er avhengige av CGS og instrumenter generelt, kan feil og ondsinnet interferens ha katastrofale konsekvenser, spesielt under autonom innflyging og flyoperasjoner."
Hva skjer med KGS-feil
Flere landinger nær katastrofe viser farene ved CGS-feil. I 2011 banket Singapore Airlines flight SQ327, med 143 passasjerer og 15 mannskaper om bord, plutselig til venstre mens de var 10 meter over rullebanen på München lufthavn i Tyskland. Etter landing svingte Boeing 777-300 til venstre, svingte deretter til høyre, krysset midtlinjen og ble liggende med landingsutstyret i gresset til høyre for rullebanen.
В om hendelsen, publisert av den tyske føderale flyhavarikommisjonen, er det skrevet at flyet bommet landingspunktet med 500 m. Etterforskere sa at en av de skyldige i hendelsen var forvrengningen av lokalisatorens landingsfyrsignaler ved å ta utenfor flyet. Selv om det ikke ble rapportert om skader, understreket hendelsen alvoret i feilen i CGS-systemene. Andre hendelser som involverte CGS-svikt som nesten endte tragisk inkluderer New Zealand flight NZ 60 i 2000 og Ryanair flight FR3531 i 2013. Videoen forklarer hva som gikk galt i sistnevnte tilfelle.
Vaibhab Sharma driver Silicon Valley-sikkerhetsselskapets globale virksomhet og har flydd småfly siden 2006. Han har også lisens for amatørkommunikasjon og er frivillig medlem av Civil Air Patrol, hvor han ble opplært som badevakt og radiooperatør. Han flyr et fly i X-Plane-simulatoren, og demonstrerer et signalforfalskningsangrep som får flyet til å lande til høyre for rullebanen.
Sharma fortalte oss:
Et slikt angrep på CGS er realistisk, men effektiviteten vil avhenge av en kombinasjon av faktorer, inkludert angriperens kunnskap om flynavigasjonssystemer og forhold ved innflyging. Ved riktig bruk vil en angriper kunne avlede flyet mot hindringer rundt flyplassen, og hvis det gjøres under dårlige siktforhold, vil det være svært vanskelig for pilotteamet å oppdage og håndtere avvik.
Han sa at angrepene har potensial til å true både små fly og store jetfly, men av forskjellige grunner. Små fly reiser med lavere hastighet. Dette gir pilotene tid til å reagere. Store jetfly, derimot, har flere besetningsmedlemmer tilgjengelig for å reagere på uønskede hendelser, og pilotene deres får vanligvis hyppigere og strengere opplæring.
Han sa at det viktigste for store og små fly vil være å vurdere omgivelsesforholdene, spesielt været, under landing.
"Et angrep som dette vil sannsynligvis være mer effektivt når pilotene må stole mer på instrumentene for å gjøre en vellykket landing," sa Sharma. "Dette kan være nattlandinger under dårlige siktforhold, eller en kombinasjon av dårlige forhold og overbelastet luftrom som krever at piloter er mer opptatt, noe som gjør dem sterkt avhengige av automatisering."
Aanjan Ranganathan, en forsker ved Northeastern University som var med på å utvikle angrepet, fortalte oss at det er lite å stole på at GPS kan hjelpe deg hvis CGS svikter. Avvik fra rullebanen i et effektivt falskt angrep vil variere fra 10 til 15 meter, siden alt større vil være synlig for piloter og flygeledere. GPS vil ha store problemer med å oppdage slike avvik. Den andre grunnen er at det er veldig enkelt å forfalske GPS-signaler.
"Jeg kan forfalske GPS-en parallelt med forfalskning av CGS," sa Ranganathan. "Hele spørsmålet er graden av motivasjon til angriperen."
Forgjengeren til KGS
KGS-tester har begynt , og det første fungerende systemet ble utplassert i 1932 på den tyske flyplassen Berlin-Tempelhof.
KGS er fortsatt et av de mest effektive landingssystemene. Andre tilnærminger, f.eks. , locator beacon, globalt posisjoneringssystem og lignende satellittnavigasjonssystemer anses som unøyaktige fordi de bare gir horisontal eller lateral orientering. KGS regnes som et nøyaktig rendezvoussystem, siden det gir både horisontal og vertikal (glidebane) orientering. De siste årene har unøyaktige systemer blitt brukt mindre og mindre. CGS ble i økende grad assosiert med autopiloter og autolandingssystemer.
Slik fungerer CGS: lokalisator [lokalisator], glidehelling [glideslope] og markørfyr [markørfyr]
CGS har to nøkkelkomponenter. Lokalisatoren forteller piloten om flyet er forskjøvet til venstre eller høyre for rullebanens senterlinje, og glidehellingen forteller piloten om nedstigningsvinkelen er for høy til at flyet ikke skal starte på rullebanen. Den tredje komponenten er markørfyr. De fungerer som markører som lar piloten bestemme avstanden til rullebanen. Gjennom årene har de i økende grad blitt erstattet av GPS og andre teknologier.
Lokalisatoren bruker to sett med antenner, og sender ut to forskjellige tonehøyder med lyd - en ved 90 Hz og den andre ved 150 Hz - og med en frekvens som er tilordnet en av landingsstripene. Antennearrayer er plassert på begge sider av rullebanen, vanligvis etter startpunktet, slik at lydene opphever seg når det landende flyet er plassert rett over rullebanens senterlinje. Avviksindikatoren viser en vertikal linje i midten.
Hvis flyet svinger til høyre, blir 150 Hz-lyden stadig mer hørbar, noe som får avviksindikatoren til å bevege seg til venstre for midten. Hvis flyet svinger til venstre, blir 90 Hz-lyden hørbar og pekeren beveger seg til høyre. En lokalisator kan selvfølgelig ikke helt erstatte visuell kontroll av et flys holdning, den gir et sentralt og veldig intuitivt middel for orientering. Piloter trenger ganske enkelt å holde pekeren sentrert for å holde planet nøyaktig over senterlinjen.
Glidebakken fungerer omtrent på samme måte, bare den viser nedstigningsvinkelen til flyet i forhold til begynnelsen av landingsstripen. Når flyets vinkel er for lav, blir 90 Hz-lyden hørbar og instrumentene indikerer at flyet skal gå ned. Når nedstigningen er for skarp, indikerer et signal på 150 Hz at flyet må fly høyere. Når flyet forblir i den foreskrevne glidebanevinkelen på omtrent tre grader, oppheves signalene. To glidebaneantenner er plassert på tårnet i en viss høyde, bestemt av glidehellingsvinkelen som er egnet for en bestemt flyplass. Tårnet er vanligvis plassert nær stripen som berører området.
Perfekt falsk
Northeastern University-forskernes angrep bruker kommersielt tilgjengelige programvareradiosendere. Disse enhetene, som selges for $400-$600, overfører signaler som utgir seg for å være ekte signaler sendt av flyplassens SSC. Angriperens sender kan plasseres både om bord på det angrepne flyet og på bakken, i en avstand på opptil 5 km fra flyplassen. Så lenge angriperens signal overstiger kraften til det virkelige signalet, vil KGS-mottakeren oppfatte angriperens signal og demonstrere orienteringen i forhold til den vertikale og horisontale flyveien planlagt av angriperen.
Hvis erstatningen er dårlig organisert, vil piloten se plutselige eller uregelmessige endringer i instrumentavlesningene, som han vil forveksle med en funksjonsfeil i CGS. For å gjøre det falske vanskeligere å gjenkjenne, kan en angriper avklare den nøyaktige plasseringen av flyet ved hjelp av , et system som hvert sekund sender et flys GPS-posisjon, høyde, bakkehastighet og andre data til bakkestasjoner og andre fartøyer.
Ved å bruke denne informasjonen kan en angriper begynne å forfalske signalet når et fly som nærmer seg har beveget seg til venstre eller høyre i forhold til rullebanen, og sende et signal til angriperen om at flyet fortsetter i vater. Det optimale tidspunktet for å angripe vil være når flyet akkurat har passert veipunktet, som vist i demonstrasjonsvideoen i begynnelsen av artikkelen.
Angriperen kan deretter bruke en sanntidssignalkorreksjons- og genereringsalgoritme som kontinuerlig vil justere det ondsinnede signalet for å sikre at forskyvningen fra den riktige banen stemmer overens med alle flyets bevegelser. Selv om angriperen mangler ferdighetene til å lage et perfekt falskt signal, kan han forvirre CGS så mye at piloten ikke kan stole på at den skal lande.
En variant av signalforfalskning er kjent som et "skyggeangrep". Angriperen sender spesielt forberedte signaler med en styrke som er større enn signalene fra flyplasssenderen. En angripers sender vil typisk trenge å sende 20 watt strøm for å gjøre dette. Skyggeangrep gjør det lettere å forfalske et signal på en overbevisende måte.
Skyggeangrep
Det andre alternativet for å erstatte et signal er kjent som et "en-tone angrep." Fordelen er at det er mulig å sende lyd av samme frekvens med en effekt som er mindre enn flyplassens KGS. Det har flere ulemper, for eksempel må angriperen vite nøyaktig spesifikasjonene til flyet - for eksempel plasseringen av CGS-antennene.
Enkel toneangrep
Ingen enkle løsninger
Forskere sier at det ennå ikke er noen måte å eliminere trusselen om falske angrep. Alternative navigasjonsteknologier – inkludert rundstrålende asimutfyr, lokaliseringsbeacon, globalt posisjoneringssystem og lignende satellittnavigasjonssystemer – er trådløse signaler som ikke har en autentiseringsmekanisme og er derfor utsatt for falske angrep. Dessuten er det kun KGS og GPS som kan gi informasjon om den horisontale og vertikale innflygingsbanen.
I sitt arbeid skriver forskerne:
De fleste sikkerhetsproblemene som teknologier som f.eks , и , kan fikses ved å introdusere kryptografi. Imidlertid vil ikke kryptografi være nok til å forhindre lokaliseringsangrep. GPS-signalkryptering, lik militær navigasjonsteknologi, kan for eksempel forhindre spoofing-angrep til en viss grad. Likevel vil angriperen kunne omdirigere GPS-signaler med de tidsforsinkelsene han trenger, og oppnå steds- eller tidserstatning. Inspirasjon kan hentes fra eksisterende litteratur om å redusere GPS-spoofing-angrep og lage lignende systemer i mottakerenden. Et alternativ vil være å implementere et storskala sikkert lokaliseringssystem basert på avstandsgrenser og sikre teknikker for bekreftelse av nærhet. Dette vil imidlertid kreve toveiskommunikasjon og krever videre studier angående skalerbarhet, gjennomførbarhet, etc.
US Federal Aviation Administration sa at de ikke hadde nok informasjon om forskernes demonstrasjon til å kommentere.
Dette angrepet og den betydelige mengden forskning som er gjort er imponerende, men hovedspørsmålet i arbeidet forblir ubesvart: hvor sannsynlig er det at noen faktisk ville være villig til å gå bryet med å utføre et slikt angrep? Andre typer sårbarheter, for eksempel de som lar hackere fjerninstallere skadelig programvare på brukernes datamaskiner eller omgå populære krypteringssystemer, er enkle å tjene penger på. Dette er ikke tilfelle med et CGS-forfalskningsangrep. Livstruende angrep på pacemakere og annet medisinsk utstyr faller også inn i denne kategorien.
Mens motivasjonen for slike angrep er vanskeligere å se, ville det være en feil å avvise muligheten. I , publisert i mai av C4ADS, en ideell organisasjon som dekker global konflikt og mellomstatlig sikkerhet, fant at den russiske føderasjonen ofte engasjerte seg i storskala testing av GPS-systemforstyrrelser som førte til at skipenes navigasjonssystemer var av sporet med 65 miles eller mer [faktisk sier rapporten at under åpningen av Krim-broen (det vil si ikke "ofte", men bare én gang), ble det globale navigasjonssystemet slått ned av en sender plassert på denne broen, og arbeidet ble følt til og med i nærheten av Anapa, som ligger 65 km (ikke miles) fra dette stedet. "Og så er alt sant" (c) / ca. oversettelse].
"Den russiske føderasjonen har en komparativ fordel i å utnytte og utvikle evner for å lure globale navigasjonssystemer," advarer rapporten. "Men den lave kostnaden, den åpne tilgjengeligheten og brukervennligheten til slike teknologier gir ikke bare stater, men også opprørere, terrorister og kriminelle gode muligheter til å destabilisere statlige og ikke-statlige nettverk."
Og selv om CGS-spoofing virker esoterisk i 2019, er det neppe langt å tenke på at det vil bli mer vanlig i de kommende årene ettersom angrepsteknologier blir bedre forstått og programvarekontrollerte radiosendere blir mer vanlig. Angrep på CGS trenger ikke å utføres for å forårsake ulykker. De kan brukes til å forstyrre flyplasser på den måten ulovlige droner forårsaket stengingen av Londons Gatwick-flyplass i desember i fjor, noen dager før jul, og Heathrow-flyplassen tre uker senere.
"Penger er én motivasjon, men maktutfoldelse er en annen," sa Ranganathan. – Fra et defensivt synspunkt er disse angrepene svært kritiske. Dette må tas vare på fordi det vil være nok mennesker i denne verden som vil vise styrke.»
Kilde: www.habr.com