Signalen som flygplan använder för att hitta en landningsbana kan förfalskas med en walkie-talkie på $600.
Ett flygplan som demonstrerar en attack mot en radio på grund av falska signaler. landar till höger om banan
Nästan alla flygplan som har flugit under de senaste 50 åren – vare sig det är en enmotorig Cessna eller en 600-sits jumbojet – har förlitat sig på radio för att landa säkert på flygplatser. Dessa instrumentlandningssystem (ILS) anses vara precisionssystem eftersom de, till skillnad från GPS och andra navigationssystem, ger viktig realtidsinformation om flygplanets horisontella orientering i förhållande till dess landningsposition, rand och vertikal nedstigningsvinkel. Under många förhållanden - speciellt vid landning i dimma eller regn på natten - förblir denna radionavigering det huvudsakliga sättet att säkerställa att flygplanet landar i början av banan och exakt i mitten.
Liksom många andra tekniker som skapats tidigare, gav KGS inget skydd mot hacking. Radiosignaler är inte krypterade och deras äkthet kan inte verifieras. Piloter antar helt enkelt att ljudsignalerna som deras system tar emot på flygplatsens tilldelade frekvens är riktiga signaler som sänds av flygplatsoperatören. Under många år gick denna säkerhetsbrist obemärkt, till stor del på grund av att kostnaden och svårigheten med signalspoofing gjorde attacker meningslösa.
Men nu har forskare utvecklat en billig hackningsmetod som väcker frågor om säkerheten för CGS som används på praktiskt taget alla civila flygplatser i industrivärlden. Använder en $600 radio , kan forskare förfalska flygplatssignaler så att pilotens navigationsinstrument indikerar att planet är ur kurs. Enligt utbildning ska piloten korrigera sjunkhastigheten eller fartygets attityd, vilket skapar risk för en olycka.
En attackteknik är att fejka signaler om att nedstigningsvinkeln är mindre än den verkligen är. Det förfalskade meddelandet innehåller den sk En "take down"-signal som informerar piloten att öka nedstigningsvinkeln, vilket möjligen kan resultera i att flygplanet landar innan banan startar.
Videon visar en annars manipulerad signal som kan utgöra ett hot mot ett plan som kommer in för att landa. En angripare kan skicka en signal som talar om för piloten att hans plan är till vänster om banans mittlinje, när planet i själva verket är exakt centrerat. Piloten kommer att reagera genom att dra planet åt höger, vilket så småningom kommer att få det att driva åt sidan.
Forskare från Northeastern University i Boston rådfrågade en pilot och en säkerhetsexpert och är noga med att notera att sådan signalförfalskning sannolikt inte leder till en krasch i de flesta fall. CGS-fel är en känd säkerhetsrisk och erfarna piloter får omfattande utbildning i hur de ska reagera på dem. Vid klart väder blir det lätt för en pilot att märka att flygplanet inte är i linje med banans mittlinje, och han kommer att kunna gå runt.
En annan anledning till rimlig skepsis är svårigheten att genomföra attacken. Förutom en programmerbar radiostation kommer det att krävas riktningsantenner och en förstärkare. All denna utrustning skulle vara ganska svår att smuggla in på ett plan om en hackare ville göra en attack från planet. Om han bestämmer sig för att anfalla från marken kommer det att krävas mycket arbete att rada upp utrustningen med landningsbanan utan att väcka uppmärksamhet. Dessutom övervakar flygplatser vanligtvis för störningar på känsliga frekvenser, vilket kan innebära att en attack stoppas strax efter att den har börjat.
År 2012, forskaren Brad Haynes, känd som , i ADS-B-systemet (Automatic Dependent Surveillance-Broadcast), som flygplan använder för att bestämma sin plats och överföra data till andra flygplan. Han sammanfattade svårigheterna med att faktiskt spoofa CGS-signaler på följande sätt:
Om allt går ihop - plats, dold utrustning, dåliga väderförhållanden, ett lämpligt mål, en välmotiverad, smart och ekonomiskt bemyndigad angripare - vad händer? I värsta fall landar flygplanet på gräset och skada eller dödsfall är möjlig, men säker flygplansdesign och snabbinsatsteam säkerställer att det finns mycket liten chans att en stor brand resulterar i att hela flygplanet försvinner. I ett sådant fall kommer landningen att avbrytas, och angriparen kommer inte längre att kunna upprepa detta. I bästa fall kommer piloten att märka avvikelsen, fläcka sina byxor, öka höjden, gå runt och rapportera att något är fel med CGS - flygplatsen kommer att påbörja en utredning, vilket innebär att angriparen inte längre vill stanna i närheten.
Så om allt går ihop blir resultatet minimalt. Jämför detta med avkastningen till investeringar och de ekonomiska effekterna av en idiot med en drönare på 1000 XNUMX dollar som flyger runt Heathrow-flygplatsen i två dagar. Visst var en drönare ett mer effektivt och fungerande alternativ än en sådan attack.
Fortfarande menar forskare att det finns risker.Plan som inte landar inom glidbanan – den imaginära linjen som ett plan följer under en perfekt landning – är mycket svårare att upptäcka, även i bra väder. Dessutom instruerar vissa trafikerade flygplatser, för att undvika förseningar, flygplan att inte rusa in i en missad inflygning, även under dåliga siktförhållanden. landningsriktlinjer från US Federal Aviation Administration, som många amerikanska flygplatser följer, indikerar att ett sådant beslut bör fattas på en höjd av endast 15 m. Liknande instruktioner gäller i Europa. De lämnar piloten väldigt lite tid för att säkert avbryta landningen om de visuella omgivningsförhållandena inte sammanfaller med data från CGS.
"Att upptäcka och återhämta sig från eventuella instrumentfel under kritiska landningsprocedurer är en av de mest utmanande uppgifterna inom modern luftfart", skrev forskarna i sin artikel. med titeln "Trådlösa attacker på flygplans glidbana system", antagen kl . "Med tanke på hur mycket piloter förlitar sig på CGS och instrument i allmänhet, kan fel och skadlig störning få katastrofala konsekvenser, särskilt under autonoma inflygningar och flygoperationer."
Vad händer med KGS misslyckanden
Flera nära katastroflandningar visar på farorna med CGS-fel. 2011 bankade Singapore Airlines flight SQ327, med 143 passagerare och 15 besättningar ombord, plötsligt till vänster medan 10 meter ovanför banan på Münchens flygplats i Tyskland. Efter landning svängde Boeing 777-300 åt vänster, svängde sedan höger, korsade mittlinjen och kom till vila med landningsstället i gräset till höger om banan.
В om incidenten, publicerad av den tyska federala flygolycksutredningskommissionen, står det skrivet att planet missade landningspunkten med 500 m. Utredarna sa att en av de skyldiga i händelsen var förvrängningen av lokalisatorns landningsfyrsignaler genom att ta utanför planet. Även om inga skadade rapporterades, underströk händelsen allvaret i felet i CGS-systemen. Andra incidenter som involverade CGS-fel som nästan slutade tragiskt inkluderar Nya Zeelands flyg NZ 60 2000 och Ryanair FR3531 2013. Videon förklarar vad som gick fel i det senare fallet.
Vaibhab Sharma driver säkerhetsföretaget Silicon Valleys globala verksamhet och har flugit småplan sedan 2006. Han har också en amatörkommunikationsoperatörslicens och är frivillig medlem i Civil Air Patrol, där han utbildades till livräddare och radiooperatör. Han flyger ett plan i X-Plane-simulatorn och demonstrerar en signalspoofingattack som får planet att landa till höger om banan.
Sharma berättade för oss:
En sådan attack mot CGS är realistisk, men dess effektivitet kommer att bero på en kombination av faktorer, inklusive angriparens kunskap om flygnavigeringssystem och förhållanden vid inflygning. Om den används på rätt sätt kommer en angripare att kunna avleda flygplanet mot hinder som omger flygplatsen, och om det görs under dåliga siktförhållanden blir det mycket svårt för pilotteamet att upptäcka och hantera avvikelser.
Han sa att attackerna har potential att hota både små flygplan och stora jetplan, men av olika anledningar. Små plan färdas med lägre hastigheter. Detta ger piloterna tid att reagera. Stora jetplan, å andra sidan, har fler besättningsmedlemmar tillgängliga för att reagera på negativa händelser, och deras piloter får vanligtvis mer frekvent och noggrannare utbildning.
Han sa att det viktigaste för plan stora och små kommer att vara att bedöma de omgivande förhållandena, särskilt vädret, under landning.
"En attack som denna kommer sannolikt att bli mer effektiv när piloterna måste lita mer på instrumenten för att göra en framgångsrik landning," sa Sharma. "Detta kan vara nattlandningar under dåliga siktförhållanden, eller en kombination av dåliga förhållanden och överbelastat luftrum som kräver att piloter är mer upptagna, vilket gör dem starkt beroende av automatisering."
Aanjan Ranganathan, en forskare vid Northeastern University som hjälpte till att utveckla attacken, berättade för oss att det finns lite att lita på GPS för att hjälpa dig om CGS misslyckas. Avvikelser från banan vid en effektiv falsk attack kommer att variera från 10 till 15 meter, eftersom allt större kommer att vara synligt för piloter och flygledare. GPS kommer att ha stora svårigheter att upptäcka sådana avvikelser. Det andra skälet är att det är väldigt lätt att förfalska GPS-signaler.
"Jag kan spoofa GPS:en parallellt med spoofing av CGS," sa Ranganathan. "Hela frågan är graden av motivation hos angriparen."
Föregångare till KGS
KGS-tester har börjat , och det första fungerande systemet installerades 1932 på den tyska flygplatsen Berlin-Tempelhof.
KGS är fortfarande ett av de mest effektiva landningssystemen. Andra tillvägagångssätt, t.ex. , lokaliseringsfyr, globalt positioneringssystem och liknande satellitnavigeringssystem anses vara felaktiga eftersom de endast ger horisontell eller lateral orientering. KGS anses vara ett exakt rendezvoussystem, eftersom det ger både horisontell och vertikal (glidbana) orientering. De senaste åren har felaktiga system använts allt mindre. CGS förknippades alltmer med autopiloter och autolandningssystem.
Så här fungerar CGS: lokaliserare [lokaliserare], glidbacke [glideslope] och markörbeacons [markeringsfyr]
CGS har två nyckelkomponenter. Lokaliseraren talar om för piloten om planet är förskjutet till vänster eller höger om banans mittlinje, och glidlutningen talar om för piloten om sjunkningsvinkeln är för hög för att planet ska missa starten på banan. Den tredje komponenten är markörfyrar. De fungerar som markörer som gör att piloten kan bestämma avståndet till banan. Under årens lopp har de i allt större utsträckning ersatts av GPS och annan teknik.
Lokaliseraren använder två uppsättningar antenner som sänder ut två olika tonhöjder av ljud - en vid 90 Hz och den andra vid 150 Hz - och med en frekvens som är tilldelad en av landningsbanorna. Antennuppsättningar är placerade på båda sidor om banan, vanligtvis efter startpunkten, så att ljuden tar ut när det landande flygplanet är placerat direkt ovanför banans mittlinje. Avvikelseindikatorn visar en vertikal linje i mitten.
Om flygplanet svänger åt höger blir 150 Hz-ljudet allt mer hörbart, vilket gör att avvikelseindikatorn flyttar sig till vänster om mitten. Om flygplanet svänger åt vänster blir 90 Hz-ljudet hörbart och pekaren flyttas åt höger. En lokaliserare kan naturligtvis inte helt ersätta visuell kontroll av ett flygplans attityd, den ger ett viktigt och mycket intuitivt sätt att orientera sig. Piloter behöver helt enkelt hålla pekaren centrerad för att hålla planet exakt ovanför mittlinjen.
Glidbacken fungerar ungefär på samma sätt, bara den visar flygplanets nedstigningsvinkel i förhållande till början av landningsbanan. När planets vinkel är för låg blir 90 Hz-ljudet hörbart och instrumenten indikerar att planet ska sjunka. När nedstigningen är för skarp indikerar en signal på 150 Hz att planet behöver flyga högre. När flygplanet förblir i den föreskrivna glidbanan på cirka tre grader upphör signalerna. Två glidbanaantenner är placerade på tornet på en viss höjd, bestäms av glidlutningsvinkeln som är lämplig för en viss flygplats. Tornet är vanligtvis placerat nära remsan som berör området.
Perfekt fejk
Northeastern University-forskarnas attack använder kommersiellt tillgängliga radiosändare. Dessa enheter, som säljs för $400-$600, sänder signaler som låtsas vara riktiga signaler som skickas av flygplatsens SSC. Angriparens sändare kan placeras både ombord på det attackerade flygplanet och på marken, på ett avstånd av upp till 5 km från flygplatsen. Så länge som angriparens signal överstiger kraften hos den verkliga signalen, kommer KGS-mottagaren att uppfatta angriparens signal och visa orienteringen i förhållande till den vertikala och horisontella flygbanan som angriparen planerat.
Om ersättningen är dåligt organiserad kommer piloten att se plötsliga eller oberäkneliga förändringar i instrumentavläsningarna, som han kommer att misstaga för att vara ett fel i CGS. För att göra det falska svårare att känna igen kan en angripare klargöra den exakta platsen för flygplanet med hjälp av , ett system som varje sekund sänder ett flygplans GPS-position, höjd, markhastighet och andra data till markstationer och andra fartyg.
Med hjälp av denna information kan en angripare börja förfalska signalen när ett annalkande flygplan har rört sig åt vänster eller höger i förhållande till banan, och skicka en signal till angriparen att flygplanet fortsätter i nivå. Den optimala tiden att attackera skulle vara när flygplanet precis har passerat waypointen, som visas i demonstrationsvideon i början av artikeln.
Angriparen kan sedan tillämpa en signalkorrigerings- och genereringsalgoritm i realtid som kontinuerligt kommer att justera den skadliga signalen för att säkerställa att förskjutningen från den korrekta vägen överensstämmer med flygplanets alla rörelser. Även om angriparen saknar skickligheten att göra en perfekt falsk signal, kan han förvirra CGS så mycket att piloten inte kan lita på att den landar.
En variant av signalspoofing är känd som en "skuggattack". Angriparen skickar speciellt förberedda signaler med en effekt som är större än signalerna från flygplatssändaren. En angripares sändare skulle vanligtvis behöva skicka 20 watt effekt för att göra detta. Skuggningsattacker gör det lättare att på ett övertygande sätt förfalska en signal.
Skuggattack
Det andra alternativet för att ersätta en signal är känt som en "entonsattack". Dess fördel är att det är möjligt att sända ljud med samma frekvens med en effekt som är mindre än flygplatsens KGS. Det har flera nackdelar, till exempel måste angriparen veta exakt detaljerna för flygplanet - till exempel platsen för dess CGS-antenner.
Enkeltonsattack
Inga lätta lösningar
Forskare säger att det ännu inte finns något sätt att eliminera hotet om spoofingattacker. Alternativa navigationstekniker – inklusive rundstrålande azimutfyr, lokaliseringsfyr, globalt positioneringssystem och liknande satellitnavigeringssystem – är trådlösa signaler som inte har en autentiseringsmekanism och är därför mottagliga för falska attacker. Dessutom kan endast KGS och GPS ge information om den horisontella och vertikala inflygningsbanan.
I sitt arbete skriver forskarna:
De flesta säkerhetsproblem som tekniker som t.ex , и , kan fixas genom att införa kryptografi. Kryptografi räcker dock inte för att förhindra lokaliseringsattacker. Till exempel kan kryptering av GPS-signaler, som liknar militär navigationsteknik, i viss utsträckning förhindra spoofingattacker. Ändå kommer angriparen att kunna omdirigera GPS-signaler med de tidsfördröjningar han behöver, och uppnå plats- eller tidsersättning. Inspiration kan hämtas från befintlig litteratur om att mildra GPS-spoofingattacker och skapa liknande system i mottagarsidan. Ett alternativ skulle vara att implementera ett storskaligt säkert lokaliseringssystem baserat på avståndsgränser och säkra tekniker för bekräftelse av närhet. Detta skulle dock kräva tvåvägskommunikation och kräver ytterligare studier angående skalbarhet, genomförbarhet etc.
US Federal Aviation Administration sa att de inte hade tillräckligt med information om forskarnas demonstration för att kommentera.
Denna attack och den betydande mängd forskning som har gjorts är imponerande, men huvudfrågan i arbetet förblir obesvarad: hur troligt är det att någon faktiskt skulle vara villig att göra sig besväret med att utföra en sådan attack? Andra typer av sårbarheter, som de som tillåter hackare att fjärrinstallera skadlig programvara på användarnas datorer eller kringgå populära krypteringssystem, är lätta att tjäna pengar på. Detta är inte fallet med en CGS-spoofingattack. Livshotande attacker på pacemakers och andra medicintekniska produkter tillhör också denna kategori.
Även om motivet för sådana attacker är svårare att se, skulle det vara ett misstag att avfärda deras möjlighet. I , publicerad i maj av C4ADS, en ideell organisation som täcker globala konflikter och mellanstatlig säkerhet, fann att Ryska federationen ofta ägnade sig åt storskaliga tester av GPS-systemstörningar som gjorde att fartygens navigationssystem hamnade 65 miles eller mer av spåret [i själva verket säger rapporten att under öppningen av Krim-bron (det vill säga inte "ofta", utan bara en gång) slogs det globala navigationssystemet ner av en sändare på denna bro, och dess arbete kändes till och med nära Anapa, som ligger 65 km (inte miles) från denna plats. "Och så är allt sant" (c) / ca. översättning].
"Ryska federationen har en komparativ fördel när det gäller att utnyttja och utveckla kapacitet för att lura globala navigationssystem", varnar rapporten. "Men den låga kostnaden, den öppna tillgängligheten och användarvänligheten för sådana tekniker ger inte bara stater utan även upprorsmän, terrorister och kriminella stora möjligheter att destabilisera statliga och icke-statliga nätverk."
Och även om CGS-spoofing verkar esoteriskt 2019, är det knappast långsökt att tro att det kommer att bli vanligare under de kommande åren när attacktekniker blir bättre förstådda och mjukvarustyrda radiosändare blir vanligare. Attacker mot CGS behöver inte utföras för att orsaka olyckor. De kan användas för att störa flygplatser på det sätt som illegala drönare orsakade stängningen av Londons Gatwick-flygplats i december förra året, några dagar före jul, och Heathrow-flygplatsen tre veckor senare.
"Pengar är en motivation, men uppvisning av makt är en annan," sa Ranganathan. – Ur en defensiv synvinkel är dessa attacker mycket kritiska. Detta måste tas om hand eftersom det kommer att finnas tillräckligt många människor i den här världen som kommer att vilja visa styrka.”
Källa: will.com