Sygnał używany przez samoloty do znalezienia lądowiska można sfałszować za pomocą krótkofalówki za 600 dolarów.
Samolot demonstrujący atak na radio z powodu sfałszowanych sygnałów. ląduje na prawo od pasa startowego
Prawie każdy samolot, który latał w ciągu ostatnich 50 lat – czy to jednosilnikowa Cessna, czy jumbo jet na 600 miejsc – korzystał z radia, aby bezpiecznie lądować na lotniskach. Te systemy lądowania według wskazań przyrządów (ILS) są uważane za systemy podejścia precyzyjnego, ponieważ w przeciwieństwie do GPS i innych systemów nawigacji dostarczają w czasie rzeczywistym istotnych informacji na temat poziomej orientacji statku powietrznego w stosunku do jego pozycji do lądowania, pasa i pionowego kąta opadania. W wielu warunkach – szczególnie podczas lądowania we mgle lub w nocy w deszczu – nawigacja radiowa pozostaje głównym sposobem zapewnienia, że samolot wyląduje na początku pasa startowego i dokładnie na jego środku.
Podobnie jak wiele innych technologii stworzonych w przeszłości, KGS nie zapewniał ochrony przed hakerami. Sygnały radiowe nie są szyfrowane i nie można zweryfikować ich autentyczności. Piloci po prostu zakładają, że sygnały audio odbierane przez ich systemy na częstotliwości przydzielonej lotnisku są rzeczywistymi sygnałami nadawanymi przez operatora lotniska. Przez wiele lat ta luka w zabezpieczeniach pozostawała niezauważona, głównie dlatego, że koszt i trudność fałszowania sygnału sprawiły, że ataki stały się bezcelowe.
Jednak teraz badacze opracowali niedrogą metodę hakowania, która rodzi pytania dotyczące bezpieczeństwa CGS używanego na praktycznie każdym cywilnym lotnisku w świecie przemysłowym. Używanie radia za 600 dolarów badacze mogą fałszować sygnały lotniskowe, tak aby przyrządy nawigacyjne pilota wskazywały, że samolot zszedł z kursu. Zgodnie ze szkoleniem pilot musi skorygować prędkość opadania lub położenie statku, stwarzając w ten sposób ryzyko wypadku.
Jedną z technik ataku jest fałszywe sygnały, że kąt opadania jest mniejszy niż w rzeczywistości. Sfałszowana wiadomość zawiera tzw Sygnał „zdejmowania” informujący pilota o konieczności zwiększenia kąta zniżania, co może skutkować przyziemieniem statku powietrznego przed startem pasa startowego.
Na nagraniu widać sfałszowany w inny sposób sygnał, który może stanowić zagrożenie dla lądującego samolotu. Osoba atakująca może wysłać sygnał informujący pilota, że jego samolot znajduje się na lewo od linii środkowej pasa startowego, podczas gdy w rzeczywistości samolot jest dokładnie wyśrodkowany. Pilot zareaguje, ciągnąc samolot w prawo, co ostatecznie spowoduje, że zejdzie na bok.
Naukowcy z Northeastern University w Bostonie skonsultowali się z pilotem i ekspertem ds. bezpieczeństwa i zwracają uwagę, że w większości przypadków takie fałszowanie sygnału nie doprowadzi do katastrofy. Awarie CGS są znanym zagrożeniem dla bezpieczeństwa, a doświadczeni piloci przechodzą intensywne szkolenie w zakresie reagowania na nie. Przy dobrej pogodzie pilot z łatwością zauważy, że samolot nie jest ustawiony w linii środkowej pasa startowego i będzie mógł go obejść.
Kolejnym powodem uzasadnionego sceptycyzmu jest trudność przeprowadzenia ataku. Oprócz programowalnej stacji radiowej wymagane będą anteny kierunkowe i wzmacniacz. Cały ten sprzęt byłby dość trudny do przemycenia na pokład samolotu, gdyby haker chciał przeprowadzić atak z samolotu. Jeśli zdecyduje się na atak z ziemi, ustawienie sprzętu w jednej linii z lądowiskiem w taki sposób, aby nie przyciągało uwagi, będzie wymagało sporo pracy. Co więcej, lotniska zazwyczaj monitorują zakłócenia na wrażliwych częstotliwościach, co może oznaczać zatrzymanie ataku wkrótce po jego rozpoczęciu.
W 2012 roku badacz Brad Haynes, znany jako , w systemie ADS-B (Automatyczny Zależny Surveillance-Broadcast), którego statki powietrzne wykorzystują do określania swojej lokalizacji i przesyłania danych do innych statków powietrznych. Podsumował trudności związane z fałszowaniem sygnałów CGS w następujący sposób:
Jeśli wszystko się połączy – lokalizacja, ukryty sprzęt, złe warunki pogodowe, odpowiedni cel, dobrze zmotywowany, inteligentny i dysponujący środkami finansowymi napastnik – co się stanie? W najgorszym przypadku samolot wyląduje na trawie i możliwe są obrażenia lub śmierć, ale bezpieczna konstrukcja samolotu i zespoły szybkiego reagowania zapewniają, że ryzyko wystąpienia ogromnego pożaru, w wyniku którego cały samolot zostanie zniszczony, jest bardzo małe. W takim przypadku lądowanie zostanie zawieszone, a atakujący nie będzie już miał możliwości jego powtórzenia. W najlepszym przypadku pilot zauważy rozbieżność, pobrudzi sobie spodnie, zwiększy wysokość, obejdzie się i zgłosi, że coś jest nie tak z CGS – lotnisko rozpocznie dochodzenie, co oznacza, że atakujący nie będzie już chciał zostań w pobliżu.
Jeśli więc wszystko się połączy, wynik będzie minimalny. Porównaj to ze wskaźnikiem zwrotu z inwestycji i wpływem ekonomicznym jednego idioty na drona o wartości 1000 dolarów latającego po lotnisku Heathrow przez dwa dni. Z pewnością dron był skuteczniejszą i wykonalną opcją niż taki atak.
Naukowcy twierdzą jednak, że istnieje ryzyko: samoloty, które nie lądują na ścieżce schodzenia – wyimaginowanej linii, po której podąża samolot podczas idealnego lądowania – są znacznie trudniejsze do wykrycia, nawet przy dobrej pogodzie. Co więcej, niektóre ruchliwe lotniska, aby uniknąć opóźnień, instruują statki powietrzne, aby nie spieszyły się z nieudanym podejściem, nawet przy słabej widoczności. wytyczne dotyczące lądowania amerykańskiej Federalnej Administracji Lotniczej, którymi kieruje się wiele amerykańskich lotnisk, wskazują, że taką decyzję należy podjąć na wysokości zaledwie 15 m. Podobne instrukcje obowiązują w Europie. Pozostawiają pilotowi bardzo mało czasu na bezpieczne przerwanie lądowania, jeśli wizualne warunki otoczenia nie pokrywają się z danymi z CGS.
„Wykrywanie i usuwanie usterek wszelkich przyrządów podczas krytycznych procedur lądowania to jedno z najtrudniejszych zadań współczesnego lotnictwa” – napisali naukowcy w swoim artykule. pt. „Bezprzewodowe ataki na systemy ścieżki schodzenia statków powietrznych”, przyjętej o godz . „Biorąc pod uwagę, jak piloci w dużym stopniu polegają na CGS i ogólnie na instrumentach, awarie i złośliwe zakłócenia mogą mieć katastrofalne skutki, szczególnie podczas autonomicznego podejścia i operacji lotniczych”.
Co się dzieje z awariami KGS
Kilka lądowań bliskich katastrofy pokazuje niebezpieczeństwa związane z awariami CGS. W 2011 r. lot SQ327 Singapore Airlines ze 143 pasażerami i 15 członkami załogi nagle przechylił się w lewo 10 metrów nad pasem startowym na lotnisku w Monachium w Niemczech. Po wylądowaniu Boeing 777-300 skręcił w lewo, następnie skręcił w prawo, przekroczył linię środkową i zatrzymał się z podwoziem w trawie po prawej stronie pasa startowego.
В w sprawie zdarzenia, opublikowanej przez niemiecką Federalną Komisję Badania Wypadków Lotniczych, napisano, że samolot minął miejsce lądowania o 500 m. Śledczy stwierdzili, że jedną z przyczyn zdarzenia było zniekształcenie sygnałów radiolatarni lądowania lokalizatora przez poza samolotem. Chociaż nie zgłoszono żadnych ofiar, zdarzenie to podkreśliło powagę awarii systemów CGS. Inne zdarzenia związane z awarią CGS, które prawie zakończyły się tragicznie, to lot NZ 60 do Nowej Zelandii w 2000 r. i lot Ryanair FR3531 w 2013 r. Film wyjaśnia, co poszło nie tak w tym drugim przypadku.
Vaibhab Sharma kieruje globalną działalnością firmy ochroniarskiej z Doliny Krzemowej i od 2006 roku lata małymi samolotami. Posiada również licencję amatorskiego operatora łączności i jest ochotnikiem w Cywilnym Patrolu Lotniczym, gdzie szkolił się na ratownika i operatora radiowego. Leci samolotem w symulatorze X-Plane, demonstrując atak polegający na fałszowaniu sygnału, w wyniku którego samolot ląduje na prawo od pasa startowego.
Sharma powiedział nam:
Taki atak na CGS jest realistyczny, ale jego skuteczność będzie zależała od kombinacji czynników, w tym wiedzy atakującego na temat systemów nawigacji powietrznej i warunków podejścia. Jeśli zostanie właściwie użyty, atakujący będzie w stanie skierować samolot w stronę przeszkód otaczających lotnisko, a jeśli zostanie przeprowadzony w warunkach słabej widoczności, zespołowi pilotów będzie bardzo trudno wykryć odchylenia i sobie z nimi poradzić.
Powiedział, że ataki mogą zagrozić zarówno małym samolotom, jak i dużym odrzutowcom, ale z innych powodów. Małe samoloty latają z mniejszą prędkością. Daje to pilotom czas na reakcję. Z drugiej strony duże odrzutowce mają większą liczbę członków załogi, którzy mogą reagować na niepożądane zdarzenia, a ich piloci zazwyczaj przechodzą częstsze i bardziej rygorystyczne szkolenia.
Powiedział, że najważniejszą rzeczą w przypadku dużych i małych samolotów będzie ocena warunków otoczenia, zwłaszcza pogody, podczas lądowania.
„Taki atak będzie prawdopodobnie skuteczniejszy, gdy piloci będą musieli w większym stopniu polegać na przyrządach, aby pomyślnie wylądować” – powiedział Sharma. „Mogą to być lądowania nocne w warunkach słabej widoczności lub połączenie złych warunków i zatłoczonej przestrzeni powietrznej, co wymaga od pilotów większej pracy, przez co są w dużym stopniu uzależnieni od automatyzacji”.
Aanjan Ranganathan, badacz z Northeastern University, który pomógł opracować atak, powiedział nam, że w przypadku awarii CGS niewiele można polegać na systemie GPS. Odchylenia od pasa startowego w przypadku skutecznego fałszywego ataku będą wynosić od 10 do 15 metrów, ponieważ wszystko większe będzie widoczne dla pilotów i kontrolerów ruchu lotniczego. GPS będzie miał duże trudności z wykryciem takich odchyleń. Drugim powodem jest to, że bardzo łatwo jest sfałszować sygnały GPS.
„Mogę fałszować GPS równolegle z fałszowaniem CGS” – powiedział Ranganathan. „Cała kwestia dotyczy stopnia motywacji atakującego”.
Poprzednik KGS
Rozpoczęły się testy KGS , a pierwszy działający system został rozmieszczony w 1932 roku na niemieckim lotnisku Berlin-Tempelhof.
KGS pozostaje jednym z najskuteczniejszych systemów lądowania. Inne podejścia, np. , lokalizator, globalny system pozycjonowania i podobne systemy nawigacji satelitarnej są uważane za niedokładne, ponieważ zapewniają jedynie orientację poziomą lub boczną. KGS jest uważany za dokładny system spotkania, ponieważ zapewnia orientację zarówno poziomą, jak i pionową (ścieżka schodzenia). W ostatnich latach niedokładne systemy są coraz rzadziej stosowane. CGS był coraz częściej kojarzony z autopilotami i systemami automatycznego lądowania.
Jak działa CGS: lokalizator [lokalizator], ścieżka schodzenia [glideslope] i sygnały nawigacyjne [marker beacon]
CGS składa się z dwóch kluczowych elementów. Lokalizator informuje pilota, czy samolot jest przesunięty w lewo czy w prawo od linii środkowej pasa startowego, a ścieżka schodzenia informuje pilota, czy kąt opadania jest zbyt duży, aby samolot minął początek pasa startowego. Trzecim elementem są sygnalizatory ostrzegawcze. Pełnią rolę znaczników, które pozwalają pilotowi określić odległość do pasa startowego. Z biegiem lat są one coraz częściej zastępowane przez GPS i inne technologie.
Lokalizator wykorzystuje dwa zestawy anten, emitujące dźwięk o dwóch różnych wysokościach – jedną o częstotliwości 90 Hz, a drugą o częstotliwości 150 Hz – i o częstotliwości przypisanej do jednego z lądowisk. Tablice antenowe rozmieszczone są po obu stronach pasa startowego, zwykle za miejscem startu, dzięki czemu dźwięki wyciszają się, gdy lądujący samolot znajdzie się bezpośrednio nad osią pasa startowego. Wskaźnik odchylenia pokazuje pionową linię pośrodku.
Jeśli dron skręci w prawo, dźwięk o częstotliwości 150 Hz staje się coraz bardziej słyszalny, powodując przesunięcie wskaźnika wskaźnika odchylenia na lewo od środka. Jeśli dron skręci w lewo, słyszalny będzie dźwięk o częstotliwości 90 Hz, a wskaźnik przesunie się w prawo. Lokalizator nie może oczywiście całkowicie zastąpić wizualnej kontroli położenia statku powietrznego; stanowi kluczowy i bardzo intuicyjny sposób orientacji. Piloci muszą po prostu trzymać wskaźnik wyśrodkowany, aby samolot znajdował się dokładnie nad linią środkową.
Ścieżka schodzenia działa w podobny sposób, tyle że pokazuje kąt opadania samolotu względem początku pasa startowego. Gdy kąt nachylenia samolotu jest zbyt mały, słychać dźwięk o częstotliwości 90 Hz, a przyrządy wskazują, że samolot powinien się obniżyć. Gdy zniżanie jest zbyt ostre, sygnał o częstotliwości 150 Hz wskazuje, że samolot musi polecieć wyżej. Kiedy statek powietrzny pozostaje pod zalecanym kątem ścieżki schodzenia wynoszącym około trzech stopni, sygnały zanikają. Na wieży umieszczone są dwie anteny ścieżki schodzenia, na określonej wysokości, wyznaczonej przez kąt ścieżki schodzenia odpowiedni dla danego lotniska. Wieża jest zwykle zlokalizowana w pobliżu obszaru styku pasa.
Idealna podróbka
W ataku badaczy z Northeastern University wykorzystano dostępne na rynku nadajniki radiowe z oprogramowaniem. Urządzenia te, sprzedawane za 400–600 dolarów, transmitują sygnały udające prawdziwe sygnały wysyłane przez SSC lotniska. Nadajnik atakującego może znajdować się zarówno na pokładzie atakowanego samolotu, jak i na ziemi, w odległości do 5 km od lotniska. Dopóki sygnał atakującego przekracza moc sygnału rzeczywistego, odbiornik KGS odbierze sygnał atakującego i zademonstruje orientację względem zaplanowanego przez atakującego pionowego i poziomego toru lotu.
Jeśli wymiana zostanie źle zorganizowana, pilot odnotuje nagłe lub błędne zmiany we wskazaniach przyrządów, które pomyli z awarią CGS. Aby utrudnić rozpoznanie podróbki, osoba atakująca może wyjaśnić dokładną lokalizację używanego statku powietrznego , system, który co sekundę przesyła lokalizację GPS statku powietrznego, wysokość nad poziomem morza, prędkość względem ziemi i inne dane do stacji naziemnych i innych statków.
Korzystając z tych informacji, osoba atakująca może zacząć fałszować sygnał, gdy zbliżający się statek powietrzny przesunie się w lewo lub w prawo w stosunku do pasa startowego, i wysłać atakującemu sygnał, że statek powietrzny leci poziomo. Optymalny moment do ataku to moment, w którym samolot właśnie minął punkt orientacyjny, jak pokazano na filmie demonstracyjnym na początku artykułu.
Osoba atakująca może następnie zastosować algorytm korekcji i generowania sygnału w czasie rzeczywistym, który będzie stale dostosowywał szkodliwy sygnał, aby zapewnić, że przesunięcie od prawidłowej ścieżki jest spójne ze wszystkimi ruchami statku powietrznego. Nawet jeśli atakującemu brakuje umiejętności wykonania idealnego fałszywego sygnału, może on zmylić CGS tak bardzo, że pilot nie będzie mógł na nim polegać przy lądowaniu.
Jeden z wariantów fałszowania sygnału znany jest jako „atak cieniujący”. Atakujący wysyła specjalnie przygotowane sygnały o mocy większej niż sygnały z nadajnika lotniskowego. W tym celu nadajnik atakującego musiałby zazwyczaj wysłać 20 watów mocy. Ataki typu Shadowing ułatwiają przekonujące sfałszowanie sygnału.
Atak Cienia
Druga możliwość zastąpienia sygnału znana jest jako „atak jednotonowy”. Jego zaletą jest to, że możliwe jest przesyłanie dźwięku o tej samej częstotliwości i mocy mniejszej niż KGS lotniska. Ma kilka wad, na przykład atakujący musi dokładnie znać specyfikę samolotu - na przykład lokalizację jego anten CGS.
Atak jednotonowy
Żadnych łatwych rozwiązań
Naukowcy twierdzą, że nie ma jeszcze sposobu, aby wyeliminować zagrożenie atakami typu spoofing. Alternatywne technologie nawigacyjne — w tym dookólna latarnia azymutalna, latarnia lokalizacyjna, globalny system pozycjonowania i podobne systemy nawigacji satelitarnej — to sygnały bezprzewodowe, które nie mają mechanizmu uwierzytelniania i dlatego są podatne na ataki polegające na fałszowaniu. Co więcej, tylko KGS i GPS mogą dostarczyć informacji o trajektorii podejścia poziomego i pionowego.
W swojej pracy badacze piszą:
Większość problemów związanych z bezpieczeństwem, z jakimi borykają się technologie takie jak , и , można rozwiązać, wprowadzając kryptografię. Jednak kryptografia nie wystarczy, aby zapobiec atakom lokalizacyjnym. Na przykład szyfrowanie sygnału GPS, podobne do technologii nawigacji wojskowej, może w pewnym stopniu zapobiegać atakom typu spoofing. Mimo to atakujący będzie mógł przekierować sygnały GPS z potrzebnymi mu opóźnieniami czasowymi i uzyskać podstawienie lokalizacji lub czasu. Inspirację można czerpać z istniejącej literatury na temat łagodzenia ataków polegających na fałszowaniu GPS i tworzenia podobnych systemów po stronie odbiornika. Alternatywą byłoby wdrożenie wielkoskalowego systemu bezpiecznej lokalizacji, opartego na ograniczeniach odległości i technikach potwierdzania bezpiecznej bliskości. Wymagałoby to jednak dwustronnej komunikacji i dalszych badań dotyczących skalowalności, wykonalności itp.
Federalna Administracja Lotnictwa USA stwierdziła, że nie ma wystarczających informacji na temat demonstracji badaczy, aby komentować.
Ten atak i znaczna ilość przeprowadzonych badań robią wrażenie, ale główne pytanie pracy pozostaje bez odpowiedzi: jakie jest prawdopodobieństwo, że ktoś rzeczywiście byłby skłonny zadać sobie trud przeprowadzenia takiego ataku? Łatwo jest zarobić na innych typach luk, np. tych, które pozwalają hakerom na zdalne instalowanie złośliwego oprogramowania na komputerach użytkowników lub ominięcie popularnych systemów szyfrowania. Inaczej jest w przypadku ataku polegającego na fałszowaniu CGS. Do tej kategorii zaliczają się także zagrażające życiu ataki na rozruszniki serca i inne urządzenia medyczne.
Chociaż motywacja takich ataków jest trudniejsza do zauważenia, błędem byłoby odrzucanie ich możliwości. W , opublikowanym w maju przez C4ADS, organizację non-profit zajmującą się globalnymi konfliktami i bezpieczeństwem międzypaństwowym, stwierdzono, że Federacja Rosyjska często angażowała się w zakrojone na szeroką skalę testy zakłóceń systemów GPS, które powodowały, że systemy nawigacji statków odchylały się od kursu o 65 mil lub więcej [w istocie z raportu wynika, że podczas otwierania mostu krymskiego (czyli nie „często”, ale tylko raz) globalny system nawigacji został powalony przez nadajnik umieszczony na tym moście, a jego działanie było odczuwalne wręcz Anapa, położona 65 km (nie mil) od tego miejsca. „A więc wszystko jest prawdą” (c) / ok. tłumaczenie].
„Federacja Rosyjska ma przewagę komparatywną w wykorzystywaniu i rozwijaniu zdolności do oszukiwania globalnych systemów nawigacji” – ostrzega raport. „Jednak niski koszt, otwarta dostępność i łatwość użycia takich technologii dają nie tylko państwom, ale także powstańcom, terrorystom i przestępcom szerokie możliwości destabilizacji sieci państwowych i niepaństwowych”.
I chociaż fałszowanie CGS wydaje się w 2019 r. czymś ezoterycznym, nie jest nazbyt naciągane założenie, że w nadchodzących latach stanie się ono bardziej powszechne w miarę lepszego zrozumienia technologii ataków i upowszechnienia się nadajników radiowych sterowanych programowo. Ataki na CGS nie muszą być przeprowadzane, aby spowodować wypadek. Można ich używać do zakłócania pracy portów lotniczych w taki sam sposób, w jaki nielegalne drony spowodowały zamknięcie londyńskiego lotniska Gatwick w grudniu ubiegłego roku, na kilka dni przed Bożym Narodzeniem, oraz lotniska Heathrow trzy tygodnie później.
„Pieniądze to jedna motywacja, ale pokaz siły to druga” – powiedział Ranganathan. – Z defensywnego punktu widzenia te ataki są bardzo krytyczne. Trzeba się tym zająć, bo na tym świecie będzie wystarczająco dużo ludzi, którzy będą chcieli pokazać siłę.
Źródło: www.habr.com