Сигнал, яким літаки знаходять посадкову смугу, можна підробити за допомогою рації за $600
Літак у демонстрації атаки на радіо через підроблені сигнали сідає правіше посадкової смуги
Практично будь-яке повітряне судно, яке піднімалося в повітря в останні 50 років – чи то одномоторний літак «Сессна», чи авіалайнер-гігант на 600 посадочних місць – користувалося допомогою радіостанцій для безпечного приземлення в аеропортах. Ці курсо-глісадні системи, КГС (англ. ILS, instrument landing system), вважаються системами точного зближення, оскільки, на відміну від GPS та інших навігаційних систем, вони забезпечують життєво важливу інформацію в реальному часі щодо горизонтальної орієнтації літака щодо посадкової смуги та вертикального кута зниження. У багатьох умовах – особливо під час приземлень у тумані чи під дощем уночі – ця радіонавігація залишається головним способом гарантувати, що літак торкнеться землі на початку смуги і посередині.
Як багато інших технологій, створених у минулому, у КМР не передбачали захист від злому. Радіосигнали не шифруються, і їхня автентичність не підтверджується. Пілоти просто припускають, що звукові сигнали, що одержуються їх системами, на закріпленій за аеропортом частоті – це справжні сигнали, що транслюються оператором аеропорту. Протягом багатьох років такий недолік безпеки практично нікого не турбував, здебільшого тому, що вартість та складність підробки сигналів робила атаки безглуздою.
Але тепер дослідники розробили недорогий метод злому, що порушує питання безпеки КМР, що використовується практично в кожному цивільному аеропорту індустріального світу. Використовуючи радіостанцію за $600 з , дослідники можуть підробити сигнали аеропорту так, що навігаційні інструменти пілота будуть показувати, що літак збився з курсу. Згідно з навчанням, пілот повинен виправити швидкість зниження або орієнтацію судна, створюючи тим самим загрозу події.
Одна технологія атаки полягає в тому, що підроблені сигнали говорять про те, що кут зниження менший, ніж є насправді. Підроблене повідомлення містить т.зв. сигнал «прийняти вниз», що повідомляє пілоту про необхідність збільшити кут зниження, що, можливо, призведе до того, що літак торкнеться землі до початку посадкової смуги.
На відео показаний іншим чином підроблений сигнал, який може загрожувати літаку, що заходить на посадку. Атакуючий може відправити сигнал, що повідомляє пілоту, що його літак знаходиться лівіше за осьову лінію посадкової смуги, коли насправді літак знаходиться точно по центру. Пілот зреагує, відводячи літак вправо, через що врешті-решт зміститься убік.
Дослідники з Північно-східного університету в Бостоні консультувалися з пілотом та експертом з безпеки, і обережно зазначають, що подібне підроблення сигналів з невеликою ймовірністю призведе до аварії в більшості випадків. Збої в роботі КМС – відома загроза безпеці перельотів, і досвідчені пілоти проходять докладне навчання, як на них реагувати. Пілоту в ясну погоду буде легко помітити, що літак не вирівняний по осьовій лінії смуги, і він зможе піти на друге коло.
Ще одна причина для розумного скептицизму – складність виконання атаки. Крім програмованої радіостанції будуть потрібні спрямовані антени та підсилювач. Все це обладнання буде досить важко потай пронести у літак, якщо хакер захоче провести атаку з борту літака. Якщо ж він вирішить атакувати із землі, потрібно буде дуже багато роботи для того, щоб вирівняти обладнання з посадковою смугою, не привертаючи уваги. Більше того, аеропорти зазвичай відстежують наявність інтерференції на особливо важливих частотах, через що атаку, можливо, зупинять незабаром після початку.
У 2012 році дослідник Бред Хейнс, відомий під позивним , в системі АЗН-В (автоматичне залежне спостереження-мовлення), яку літаки використовують для визначення їхнього розташування та передачі даних іншим літакам. Він підсумував проблеми реальної підробки КГС-сигналів так:
Якщо все зійдеться – місце розташування, приховане обладнання, погані погодні умови, відповідна мета, добре вмотивований, розумний і такий, що володіє фінансовими можливостями, – що вийде? У найгіршому випадку літак приземлиться на траву, можливі травми чи летальні випадки, проте безпечна розробка літаків та команди швидкого реагування забезпечують дуже малу ймовірність величезної пожежі із втратою всього літака. При цьому в такому разі посадку буде припинено, і атакуючий уже не зможе це повторити. У найкращому разі, пілот помітить невідповідність, забруднить штани, збільшить висоту, зайде на друге коло, і повідомить, що з КМС щось не так - аеропорт почне розслідування, що означає, що атакуючий уже не захоче залишатися поблизу.
Тож якщо все зійдеться, то результат буде мінімальним. Порівняйте це із співвідношенням результату до вкладень та економічний ефект від того випадку, коли один козел із дроном за $1000 два дні літав навколо аеропорту Хітроу. Вже точно дрон був ефективнішим і робочим варіантом, ніж така атака.
І все ж, дослідники кажуть, що ризики існують Літаки, які не потрапляють при посадці в глісаду - уявну лінію, якою літак слідує при ідеальній посадці - набагато важче виявити навіть у хорошу погоду. Більше того, деякі завантажені аеропорти, щоб уникнути затримок, вказують літакам не поспішати з відходом на друге коло навіть в умовах поганої видимості. по посадці від Федерального управління цивільної авіації США, яким слідує багато аеропортів США, вказують, що таке рішення слід приймати на висоті всього 15 м. Подібні інструкції діють і в Європі. Вони залишають пілотові дуже мало часу на те, щоб безпечно перервати посадку, якщо візуально навколишні умови не співпадуть із даними від КМР.
"Виявлення та відновлення у разі відмови будь-яких інструментів під час критично важливих посадкових процедур - одне з найскладніших завдань сучасної авіації", - писали дослідники у своїй під назвою «Безпровідні атаки на курсо-глісадні системи повітряних суден», прийнятої на . «З огляду на те, наскільки сильно пілоти покладаються на КМР та загалом на інструменти, відмова та зловмисне втручання можуть призвести до катастрофічних наслідків, особливо у процесі автономних підльотів та польотів».
Що відбувається з відмовами КМР
Декілька приземлень, що мало не призвели до катастрофи, демонструють небезпеку відмов КМС. У 2011 році політ SQ327 сінгапурських авіаліній зі 143 пасажирами і 15-ма членами команди на борту несподівано нахилився вліво, перебуваючи за 10 метрів над посадковою смугою в аеропорту Мюнхена в Німеччині. Після посадки Боїнг 777-300 відхилився вліво, потім повернув праворуч, перетнув осьову лінію, і зупинився, коли шасі знаходилося в траві праворуч від посадкової смуги.
В про інцидент, опублікований німецькою федеральною комісією з розслідування пригод з повітряними суднами, написано, що літак промахнувся повз точку посадки на 500 м. Слідчі сказали, що одним із винуватців інциденту стало спотворення сигналів курсового посадкового радіомаяка літаком, що злітає. Хоча про постраждалих не повідомлялося, ця подія наголосила на серйозності відмови систем КДС. Серед інших інцидентів з відмовою КМР, які мало не закінчилися трагічно, значиться новозеландський рейс NZ 60 у 2000-му і політ компанії Ryanair FR3531 у 2013. На відео пояснюється, що пішло не так в останньому випадку.
Вайбхаб Шарма управляє справами компанії з Кремнієвої долини, яка займається безпекою по всьому світу, і літає на невеликих літаках з 2006 року. Він також має ліцензію оператора аматорського зв'язку, і він бере участь на громадських засадах у цивільному повітряному патрулі, де пройшов навчання на рятувальника та оператора радіо. Він управляє літаком у симуляторі X-Plane, демонструючи атаку з заміною сигналів, що змушує літак приземлятися праворуч від посадкової смуги.
Шарма розповів нам:
Така атака на КМС реалістична, але її ефективність залежатиме від комбінації факторів, включаючи знання атакуючого систем повітряної навігації та умов на підльоті. Якщо використовувати її відповідним чином, атакуючий зможе відвести повітряне судно у бік перешкод, що оточують аеропорт, і якщо зробити це в умовах поганої видимості, команді пілотів буде дуже складно виявити відхилення та впоратися з ними.
Він сказав, що атаки мають потенціал загрожувати як невеликим літакам так і великим реактивним повітряним суднам, проте з різних причин. Невеликі літаки рухаються із меншими швидкостями. Це дає пілотам час на реагування. У великих реактивних літаків, з іншого боку, у команді більше членів, здатних відреагувати на несприятливі події, причому пілоти таких судів зазвичай навчаються частіше і ретельніше.
Він сказав, що найважливіше для великих і малих літаків оцінитиме навколишні умови, зокрема погоду, під час посадки.
«Подібна атака, ймовірно, буде більш ефективною, коли пілотам доведеться покладатися на прилади для виконання успішної посадки, — сказав Шарма. – Це можуть бути нічні приземлення в умовах поганої видимості, або комбінація поганих умов із завантаженим повітряним простором, що вимагає від пілотів більшої завантаженості, через що вони сильно залежать від автоматизації».
Аанджан Ранганатан, дослідник із Північно-східного університету, який допомагав у розробці атаки, розповів нам, що на допомогу GPS при відмові КМР розраховувати майже не доводиться. Відхилення від посадкової смуги при ефективній атаці з заміною становитимуть від 10 до 15 метрів, оскільки все, що буде більше, пілоти та авіадиспетчери зможуть помітити. GPS насилу зможе виявити подібні відхилення. Друга причина – підмінити сигнали GPS дуже легко.
«Я можу підмінити GPS паралельно із заміною КМР, — сказав Ранганатан. – Усе питання у мірі мотивації атакуючого».
Попередник КМС
Випробування КМР розпочалися , і першу робочу систему розгорнули 1932-го в німецькому аеропорту Берлін-Темпельхоф.
КМР залишається однією з найефективніших посадкових систем. Інші підходи, наприклад, , приводний радіомаяк, глобальна система позиціонування та подібні супутникові системи навігації вважаються неточними, оскільки дають лише горизонтальну чи поперечну орієнтацію. КГС вважається точної системою зближення, оскільки дає як горизонтальну, і вертикальну (глісада) орієнтацію. В останні роки неточні системи використовувалися все рідше. КМС все частіше пов'язували з автопілотами та автопосадковими системами.
Як працює КМС: курсовий посадковий радіомаяк [localizer], нахил глісади [glideslope] та маркерні радіомаяки [marker beacon]
КГС має два ключові компоненти. Курсовий посадковий радіомаяк повідомляє пілоту, чи зміщений літак ліворуч або праворуч від осьової лінії посадкової смуги, а нахил глісади говорить, чи не занадто великий кут спуску для того, щоб літак не промахнувся повз початок смуги. Третій компонент – маркерні радіомаяки. Вони працюють як віхи, що дозволяють пілоту визначити відстань до смуги. З роками їх все частіше замінюють GPS та іншими технологіями.
Курсовий посадковий радіомаяк використовує два набори антен, що випромінюють два різних за висотою звуку – один на 90 Гц, та інший на 150 Гц – причому на частоті, призначеній одній з посадкових смуг. Антенні грати розташовані з обох сторін смуги, зазвичай після точки зльоту, і так, щоб звуки взаємно знищувалися, коли літак, що сідає, розташований прямо над осьовою лінією смуги. Індикатор відхилення показує вертикальну лінію у центрі.
Якщо літак відхиляється праворуч, звук на 150 Гц стає все чутнішим, через що покажчик індикатора відхилення рухається вліво від центру. Якщо літак відхиляється лівіше, чутніше стає звук на 90 Гц, і покажчик рухається праворуч. Курсовий посадковий радіомаяк, звичайно, не може повністю замінити візуальний контроль положення літака, він дає ключовий та дуже інтуїтивний засіб орієнтації. Пілотам потрібно просто утримувати покажчик у центрі, щоб літак знаходився точно над осьовою лінією.
Нахил глісади працює приблизно також, тільки він показує кут зниження літака щодо початку посадкової смуги. Коли кут літака занадто малий, чутніше стає звук на 90 Гц, і інструменти показують, що літаку треба знижуватись. Коли спуск занадто різкий, сигнал на 150 Гц свідчить, що літаку треба взяти вище. Коли літак залишається на вказаному куті нахилу глісади приблизно три градуси, сигнали взаємно знищуються. Дві глісадні антени розташовані на вежі на певній висоті, яка визначається кутом нахилу глісади, придатним для конкретного аеропорту. Вишка зазвичай розташована неподалік від зони торкання смуги.
Бездоганна підробка
Атака дослідників із Північно-східного університету використовує наявні у продажу програмні радіопередавачі. Ці пристрої, що продаються за $400-$600, передають сигнали, що прикидаються справжніми сигналами, відправленими КМС аеропорту. Передавач зловмисника може перебувати як на борту літака, що атакується, так і на землі, на відстані до 5 км від аеропорту. Поки сигнал зловмисників перевершує за потужністю справжній сигнал, приймач КГС сприйматиме сигнал атакуючого і демонструватиме орієнтацію щодо вертикальної та горизонтальної траєкторії польоту, заплановану зловмисником.
Якщо підміну організовано погано, пілотові стануть видні раптові чи безладні зміни показань приладів, які він сприйме за несправність КМР. Щоб підробку було важче розпізнати, атакуючий може уточнити точне розташування літака. , систему, яка щомиті передає місцезнаходження літака по GPS, висоту, швидкість щодо землі, та інші дані на наземні станції та інші судна.
Використовуючи цю інформацію, атакуючий може почати заміну сигналу, коли літак, що наближається, змістився вліво або вправо щодо посадкової смуги, і відправити йому сигнал про те, що літак йде рівно. Оптимальним часом для атаки буде момент, коли літак щойно пройшов повз колію, як показано на демонстраційному відео на початку статті.
Потім атакуючий може застосувати алгоритм корекції та генерації сигналу в реальному часі, який постійно підправлятиме зловмисний сигнал, щоб гарантувати, що зсув щодо правильного шляху буде відповідати всім переміщенням літака. Навіть якщо атакуючий не вистачить навичок для того, щоб зробити бездоганний підроблений сигнал, він зможе так заплутати КДС, що пілот не зможе на неї покладатися при приземленні.
Один варіант підробки сигналу відомий, як атака, що «затіняє». Атакуючий відправляє спеціально підготовлені сигнали з більшою потужністю, ніж сигнали передавача аеропорту. Передачу зловмисника для цього зазвичай потрібно відправляти сигнали потужністю 20 Вт. Затіняючі атаки полегшують проведення переконливої заміни сигналу.
Затіняюча атака
Другий варіант заміни сигналу відомий як «однотонна атака». Його перевага в тому, що можна відправляти звук однієї частоти з меншою потужністю, ніж у КМС аеропорту. У нього є кілька недоліків, наприклад, що атакує необхідно точно знати специфіку літака - наприклад, розташування його КГС-антен.
Однотонна атака
Відсутність легких рішень
Дослідники кажуть, що поки що немає способів усунути загрозу атак з підміною. Альтернативні технології навігації – включаючи всеспрямований азимутальний радіомаяк, приводний радіомаяк, глобальну систему позиціонування та подібні супутникові системи навігації – є бездротовими сигналами, що не мають механізму автентифікації, і, отже, піддаються атакам підміни. Більше того, інформацію щодо горизонтальної та вертикальної траєкторії підльоту здатні дати лише КМС та GPS.
У своїй роботі дослідники пишуть:
Більшість проблем із безпекою, з якою стикаються такі технології, як , и , можна виправити, впроваджуючи криптографію Однак криптографії буде недостатньо для запобігання атакам з локалізацією. Наприклад, шифрування сигналу GPS, схоже на військову технологію навігації, може запобігти атакам з заміною до певної міри. Все одно зловмисник зможе перенаправляти GPS-сигнали з потрібними йому затримками за часом, і досягти заміни розташування або часу. Натхнення можна черпати з існуючої літератури щодо запобігання атакам із заміною GPS і створювати схожі системи на стороні приймача. Альтернативою може стати реалізація широкомасштабної безпечної системи локалізації, що ґрунтується на обмеженні відстані та безпечних техніках підтвердження зближення. Однак для цього потрібно забезпечити двосторонній зв'язок, і цей варіант вимагає подальшого вивчення щодо його масштабованості, можливості реалізації та ін.
У федеральному управлінні цивільної авіації США повідомили, що вони не мають достатньої інформації з приводу проведеної дослідниками демонстрації, щоб давати коментарі.
Ця атака та значний обсяг проведеного дослідження вражають, але на головне питання в роботі немає відповіді – наскільки ймовірно, що хтось захоче витратити зусилля на реалізацію подібної атаки насправді? Інші типи вразливостей, наприклад, що дозволяють хакерам віддалено встановлювати шкідливі програми на комп'ютерах користувачів, або оминати популярні системи шифрування, легко монетизувати. З атакою з заміною КМР це не так. До цієї ж категорії потрапляють небезпечні для життя атаки на кардіостимулятори та інші медичні пристрої.
І хоча мотивацію для подібних атак побачити важче, було б помилкою відкидати їхню можливість. У , опублікованому в травні C4ADS, некомерційною організацією, що висвітлює проблеми глобальних конфліктів та міждержавної безпеки, зазначено, що Російська федерація часто займалася широкомасштабними випробуваннями порушень роботи системи GPS, внаслідок яких навігаційні системи кораблів помилялися у своєму розташуванні на 65 миль і більше.насправді у звіті йдеться про те, що під час відкриття Кримського мосту (тобто не «часто», а лише один раз) глобальну систему навігації збивав передавач, розташований на цьому мосту, і його робота відчувалася навіть поблизу Анапи, розташованої в 65 км (а не милі) від цього місця. "А так все вірно" (с) / прим. перев.].
«Російська федерація має відносну перевагу у використанні та розробці можливостей обману систем глобальної навігації», — попереджає звіт. «Однак мала вартість, доступність у відкритому продажу та простота використання подібних технологій дає не тільки державам, а й бунтівникам, терористам та злочинцям широкі можливості щодо дестабілізації державних та недержавних мереж».
І хоча підміна КГС здається езотерикою в 2019-му, навряд чи буде таким вже фантастичним припущення про те, що в наступні роки вона стане звичнішою справою, у міру того, як технології атак ставатимуть зрозумілішими, а програмно керовані радіопередавачі – поширенішими. Атаки на КМР не обов'язково проводити для того, щоби викликати аварії. Їх можна проводити для порушення роботи аеропортів, так як незаконні дрони призвели до закриття аеропорту Гатвік у Лондоні минулого грудня, за кілька днів до різдва, а через три тижні — аеропорту Хітроу.
«Гроші – це одна мотивація, а демонстрація сили – інша, – сказав Ранганатан. – З погляду захисту ці атаки дуже критичні. Про це треба подбати, оскільки у цьому світі знайдеться достатньо людей, які захочуть продемонструвати силу».
Джерело: habr.com