Хабрахабр

[Перевод] Системы радионавигации, используемые самолётами для безопасной посадки, небезопасны и подвержены взлому

Сигнал, по которому самолёты находят посадочную полосу, можно подделать при помощи рации за $600


Самолёт в демонстрации атаки на радио из-за поддельных сигналов КГС садится правее посадочной полосы

Эти курсо-глиссадные системы, КГС (англ. Практически любое воздушное судно, поднимавшееся в воздух в последние 50 лет – будь то одномоторный самолёт «Сессна» или авиалайнер-гигант на 600 посадочных мест – пользовалось помощью радиостанций для безопасного приземления в аэропортах. Во многих условиях – особенно во время приземлений в тумане или под дождём ночью – эта радионавигация остаётся главным способом гарантировать, что самолёт коснётся земли в начале полосы и ровно посередине.
Как многие другие технологии, созданные в прошлом, в КГС не предусматривали защиту от взлома. ILS, instrument landing system), считаются системами точного сближения, поскольку, в отличие от GPS и других навигационных систем, они обеспечивают жизненно важную информацию в реальном времени по поводу горизонтальной ориентации самолёта по отношению к посадочной полосе и вертикального угла снижения. Пилоты просто предполагают, что получаемые их системами звуковые сигналы на закреплённой за аэропортом частоте – это настоящие сигналы, транслируемые оператором аэропорта. Радиосигналы не шифруются, и их аутентичность не подтверждается. В течение многих лет такой недостаток безопасности практически никого не беспокоил, в основном потому, что стоимость и сложность подделки сигналов делала атаки бессмысленными.

Используя радиостанцию за $600 с программным управлением, исследователи могут подделать сигналы аэропорта так, что навигационные инструменты пилота будут показывать, что самолёт сбился с курса. Но теперь исследователи разработали недорогой метод взлома, поднимающий вопросы о безопасности КГС, используемой практически в каждом гражданском аэропорту индустриального мира. Согласно обучению, пилот должен исправить скорость снижения или ориентацию судна, тем самым создавая угрозу происшествия.

Подделанное сообщение содержит т.н. Одна технология атаки состоит в том, что поддельные сигналы говорят о том, что угол снижения меньше, чем есть на самом деле. сигнал «принять вниз», сообщающий пилоту о необходимости увеличить угол снижения, что возможно, приведёт к тому, что самолёт коснётся земли до начала посадочной полосы.

Атакующий может отправить сигнал, сообщающий пилоту, что его самолёт находится левее осевой линия посадочной полосы, когда на самом деле самолёт находится точно по центру. На видео показан иным образом подделанный сигнал, который может нести угрозу самолёту, заходящему на посадку. Пилот среагирует, уводя самолёт вправо, из-за чего в итоге сместится в сторону.

Сбои в работе КГС – известная угроза безопасности перелётов, и опытные пилоты проходят подробное обучение тому, как на них реагировать. Исследователи из Северо-восточного университета в Бостоне консультировались с пилотом и экспертом по безопасности, и осторожно отмечают, что подобная подделка сигналов с небольшой вероятностью приведёт к аварии в большинстве случаев. Пилоту в ясную погоду будет легко заметить, что самолёт не выровнен по осевой линия полосы, и он сможет уйти на второй круг.

Кроме программируемой радиостанции потребуются направленные антенны и усилитель. Ещё одна причина для разумного скептицизма – это сложность выполнения атаки. Если же он решит атаковать с земли, потребуется очень много работы для того, чтобы выровнять оборудование с посадочной полосой, не привлекая внимания. Всё это оборудование будет довольно трудно тайком пронести в самолёт, если хакер захочет провести атаку с борта самолёта. Более того, аэропорты обычно отслеживают наличие интерференции на особо важных частотах, из-за чего атаку, возможно, остановят вскоре после начала.

Он подытожил трудности реальной подделки КГС-сигналов так:
В 2012 году исследователь Брэд Хейнс, известный под позывным Renderman, раскрыл уязвимости в системе АЗН-В (автоматическое зависимое наблюдение-вещание), которую самолёты используют для определения их местоположения и передачи данных другим самолётам.

В самом худшем случае самолёт приземлится на траву, возможны травмы или летальные случаи, однако безопасная разработка самолётов и команды быстрого реагирования обеспечивают очень малую вероятность огромного пожара с потерей всего самолёта. Если всё сойдётся – местоположение, скрытое оборудование, плохие погодные условия, подходящая цель, хорошо мотивированный, умный и обладающий финансовыми возможностями атакующий – что получится? В лучшем случае, пилот заметит несоответствие, испачкает штаны, увеличит высоту, зайдёт на второй круг, и сообщит, что с КГС что-то не так – аэропорт начнёт расследование, что означает, что атакующий уже не захочет оставаться поблизости. При этом в подобном случае посадка будет приостановлена, и атакующий уже не сможет это повторить.

Сравните это с соотношением результата к вложениям и экономический эффект от того случая, когда один козёл с дроном за $1000 два дня летал вокруг аэропорта Хитроу. Так что, если всё сойдётся, то итог будет минимальным. Уж точно дрон был более эффективным и рабочим вариантом, чем такая атака.

И всё же, исследователи говорят, что риски существуют Самолёты, не попадающие при посадке в глиссаду – воображаемую линию, которой самолёт следует при идеальной посадке – гораздо труднее обнаружить даже в хорошую погоду. Более того, некоторые загруженные аэропорты во избежание задержек указывают самолётам не спешить с уходом на второй круг даже в условиях плохой видимости. Инструкции по посадке от Федерального управления гражданской авиации США, которым следуют многие аэропорты США, указывают, что такое решение следует принимать на высоте всего в 15 м. Подобные инструкции действуют и в Европе. Они оставляют пилоту очень мало времени на то, чтобы безопасно прервать посадку, если визуально окружающие условия не совпадут с данными от КГС.

«Учитывая то, насколько сильно пилоты полагаются на КГС и в целом на инструменты, отказ и злонамеренное вмешательство могут привести к катастрофическим последствиям, особенно в процессе автономных подлётов и полётов». «Обнаружение и восстановление в случае отказа любых инструментов во время критически важных посадочных процедур – одна из самых сложных задач современной авиации», — писали исследователи в своей работе под названием «Беспроводные атаки на курсо-глиссадные системы воздушных судов», принятой на 28-м симпозиуме по безопасности USENIX.

Что происходит с отказами КГС

Несколько приземлений, чуть не приведших к катастрофе, демонстрируют опасность отказов КГС. В 2011 году полёт SQ327 сингапурских авиалиний со 143-мя пассажирами и 15-ю членами команды на борту неожиданно накренился влево, находясь в 10 метрах над посадочной полосой в аэропорту Мюнхена в Германии. После посадки Боинг 777-300 отклонился влево, потом повернул направо, пересёк осевую линию, и остановился, когда шасси находилось в траве справа от посадочной полосы.

Следователи сказали, что одним из виновников инцидента стало искажение сигналов курсового посадочного радиомаяка взлетающим самолётом. В отчёте об инциденте, опубликованный немецкой федеральной комиссией по расследованию происшествий с воздушными судами, написано, что самолёт промахнулся мимо точки посадки на 500 м. Среди других инцидентов с отказом КГС, чуть не окончившихся трагически, числится новозеландский рейс NZ 60 в 2000-м и полёт компании Ryanair FR3531 в 2013. Хотя о пострадавших не сообщалось, это событие подчеркнуло серьёзность отказа систем КГС. На видео объясняется, что пошло не так в последнем случае.

У него также есть лицензия оператора любительской связи, и он участвует на общественных началах в гражданском воздушном патруле, где прошёл обучение на спасателя и оператора радио. Вайбхаб Шарма заведует делами компании из Кремниевой долины, занимающейся безопасностью, по всему миру, и летает на небольших самолётах с 2006 года. Он управляет самолётом в симуляторе X-Plane, демонстрируя атаку с подменой сигналов, заставляющую самолёт приземляться справа от посадочной полосы.

Шарма рассказал нам:

Если использовать её соответствующим образом, атакующий сможет увести воздушное судно в сторону препятствий, окружающих аэропорт, и если сделать это в условиях плохой видимости, команде пилотов будет очень сложно обнаружить отклонения и справиться с ними. Такая атака на КГС реалистична, но её эффективность будет зависеть от комбинации факторов, включая знание атакующего систем воздушной навигации и условий на подлёте.

Он сказал, что у атак есть потенциал угрожать как небольшим самолётам так и большим реактивным воздушным судам, однако по разным причинам. Небольшие самолёты движутся с меньшими скоростями. Это даёт пилотам время на реагирование. У крупных реактивных самолётов, с другой стороны, в команде больше членов, способных отреагировать на неблагоприятные события, при этом пилоты таких судов обычно обучаются чаще и тщательнее.

Он сказал, что важнее всего для крупных и малых самолётов будет оценить окружающие условия, в частности, погоду, во время посадки.

– Это могут быть ночные приземления в условиях плохой видимости, или комбинация плохих условий с загруженным воздушным пространством, требующая от пилотов большей загруженности, из-за чего они сильно зависят от автоматизации». «Подобная атака, вероятно, будет более эффективной, когда пилотам придётся в большей степени полагаться на приборы для выполнения успешной посадки, — сказал Шарма.

Отклонения от посадочной полосы при эффективной атаке с подменой составят от 10 до 15 метров, поскольку всё, что будет больше, пилоты и авиадиспетчеры смогут заметить. Аанджан Ранганатан, исследователь из Северо-восточного университета, помогавший в разработке атаки, рассказал нам, что на помощь GPS при отказе КГС рассчитывать почти не приходится. Вторая причина – подменить сигналы GPS очень легко. GPS с большим трудом сможет обнаружить подобные отклонения.

– Весь вопрос в степени мотивации атакующего». «Я могу подменить GPS параллельно с подменой КГС, — сказал Ранганатан.

Предшественник КГС

Испытания КГС начались ещё в 1929 году, и первую рабочую систему развернули в 1932-м в немецком аэропорту Берлин-Темпельхоф.

Иные подходы, к примеру, всенаправленный азимутальный радиомаяк, приводной радиомаяк, глобальная система позиционирования и подобные спутниковые системы навигации считаются неточными, поскольку дают только горизонтальную или поперечную ориентацию. КГС остаётся одной из самых эффективных посадочных систем. В последние годы неточные системы использовались всё реже. КГС же считается точной системой сближения, поскольку даёт как горизонтальную, так и вертикальную (глиссада) ориентацию. КГС всё чаще связывали с автопилотами и автопосадочными системами.


Как работает КГС: курсовой посадочный радиомаяк [localizer], наклон глиссады [glideslope] и маркерные радиомаяки [marker beacon]

Курсовой посадочный радиомаяк сообщает пилоту, смещён ли самолёт влево или вправо от осевой линии посадочной полосы, а наклон глиссады говорит, не слишком ли велик угол спуска для того, чтобы самолёт не промахнулся мимо начала полосы. У КГС есть два ключевых компонента. Они работают как вехи, позволяющие пилоту определить расстояние до полосы. Третий компонент – маркерные радиомаяки. С годами их всё чаще заменяют GPS и другими технологиями.

Антенные решётки расположены с обеих сторон полосы, обычно после точки взлёта, и так, чтобы звуки взаимно уничтожались, когда садящийся самолёт расположен прямо над осевой линией полосы. Курсовой посадочный радиомаяк использует два набора антенн, излучающих два разных по высоте звука – один на 90 Гц, и другой на 150 Гц – причём на частоте, назначенной одной из посадочных полос. Индикатор отклонения показывает вертикальную линию в центре.

Если самолёт отклоняется левее, слышнее становится звук на 90 Гц, и указатель двигается вправо. Если самолёт отклоняется вправо, звук на 150 Гц становится всё слышнее, из-за чего указатель индикатора отклонения двигается влево от центра. Пилотам нужно просто удерживать указатель в центре, чтобы самолёт находился точно над осевой линией. Курсовой посадочный радиомаяк, конечно, не может полностью заменить визуальный контроль положения самолёта, он даёт ключевое и очень интуитивное средство ориентации.

Когда угол самолёта слишком мал, слышнее становится звук на 90 Гц, и инструменты показывают, что самолёту надо снижаться. Наклон глиссады работает примерно также, только он показывает угол снижения самолёта относительно начала посадочной полосы. Когда самолёт остаётся на предписанном угле наклона глиссады примерно в три градуса, сигналы взаимно уничтожаются. Когда спуск слишком резкий, сигнал на 150 Гц говорит о том, что самолёту надо взять выше. Вышка обычно расположена недалеко от зоны касания полосы. Две глиссадные антенны расположены на вышке на определённой высоте, определяемой углом наклона глиссады, подходящим для конкретного аэропорта.

Безупречная подделка

Атака исследователей из Северо-восточного университета использует имеющиеся в продаже программные радиопередатчики. Эти устройства, продающиеся по $400-$600, передают сигналы, притворяющиеся настоящими сигналами, отправленными КГС аэропорта. Передатчик злоумышленника может находиться как на борту атакуемого самолёта, так и на земле, на расстоянии до 5 км от аэропорта. Пока сигнал злоумышленников превосходит по мощности настоящий сигнал, приёмник КГС будет воспринимать сигнал атакующего, и демонстрировать ориентацию относительно вертикальной и горизонтальной траектории полёта, запланированную злоумышленником.

Чтобы подделку было труднее распознать, атакующий может уточнить точное расположение самолёта используя АЗН-В, систему, ежесекундно передающую местонахождение самолёта по GPS, высоту, скорость относительно земли, и другие данные на наземные станции и другие суда. Если подмена организована плохо, пилоту станут видны внезапные или беспорядочные изменения показаний приборов, которые он примет за неисправность КГС.

Оптимальным временем для атаки будет момент, когда самолёт только что прошёл мимо путевой точки, как показано на демонстрационном видео в начале статьи. Используя эту информацию, атакующий может начать подмену сигнала, когда приближающийся самолёт сместился влево или вправо относительно посадочной полосы, и отправить ему сигнал о том, что самолёт идёт ровно.

Даже если атакующему не хватит навыков для того, чтобы сделать безупречный поддельный сигнал, он сможет так запутать КГС, что пилот не сможет на неё полагаться при приземлении. Затем атакующий может применить алгоритм коррекции и генерации сигнала в реальном времени, который будет постоянно подправлять злонамеренный сигнал, чтобы гарантировать, что смещение относительно правильного пути будет соответствовать всем перемещениям самолёта.

Атакующий отправляет специально подготовленные сигналы с мощностью большей, чем сигналы передатчика аэропорта. Один вариант подделки сигнала известен, как «затеняющая атака». Затеняющие атаки облегчают проведение убедительной подмены сигнала. Передатчику злоумышленника для этого обычно потребуется отправлять сигналы мощностью в 20 Вт.


Затеняющая атака

Его преимущес тво в том, что можно отправлять звук одной частоты с мощностью меньшей, чем у КГС аэропорта. Второй вариант подмены сигнала известен, как «однотонная атака». У него есть несколько недостатков, например, атакующему необходимо точно знать специфику самолёта – к примеру, расположение его КГС-антенн.


Однотонная атака

Отсутствие лёгких решений

Исследователи говорят, что пока нет способов устранить угрозу атак с подменой. Альтернативные технологии навигации – включая всенаправленный азимутальный радиомаяк, приводной радиомаяк, глобальную систему позиционирования и подобные спутниковые системы навигации – представляют собой беспроводные сигналы, не имеющие механизма аутентификации, и, следовательно, подвержены атакам подмены. Более того, информацию по горизонтальной и вертикальной траектории подлёта способны дать только КГС и GPS.

В своей работе исследователи пишут:

Однако криптографии будет недостаточно для предотвращения атак с локализацией. Большинство проблем с безопасностью, с которой сталкиваются такие технологии, как АЗН-В, ACARS и TCAS, можно исправить, внедряя криптографию. Всё равно злоумышленник сможет перенаправлять GPS-сигналы с нужными ему задержками по времени, и добиться подмены местоположения или времени. К примеру, шифровка сигнала GPS, схожая с военной технологией навигации, может предотвратить атаки с подменой до определённой степени. Альтернативой может стать реализация широкомасштабной безопасной системы локализации, основывающейся на ограничении расстояния и безопасных техниках подтверждения сближения. Вдохновение можно черпать из существующей литературы по предотвращению атак с подменой GPS и создавать похожие системы на стороне приёмника. Однако для этого потребуется обеспечить двустороннюю связь, и этот вариант требует дальнейшего изучения, касающегося его масштабируемости, возможности реализации и проч.

В федеральном управлении гражданской авиации США сообщили, что у них нет достаточной информации по поводу проведённой исследователями демонстрации, чтобы давать комментарии.

Другие типы уязвимостей, к примеру, позволяющих хакерам удалённо устанавливать вредоносные программы на компьютерах пользователей, или обходить популярные системы шифрования, легко монетизировать. Эта атака и значительный объём проведённого исследования впечатляют, но на главный вопрос в работе нет ответа – насколько вероятно, что кто-нибудь захочет затратить усилия на реализацию подобной атаки на самом деле? В эту же категорию попадают опасные для жизни атаки на кардиостимуляторы и другие медицинские устройства. С атакой с подменой КГС это не так.

В отчёте, опубликованном в мае C4ADS, некоммерческой организацией, освещающей проблемы глобальных конфликтов и межгосударственной безопасности, указано, что Российская федерация часто занималась широкомасштабными испытаниями нарушений работы системы GPS, в результате которых навигационные системы кораблей ошибались в своём местоположении на 65 миль и более [на самом деле в отчёте говорится о том, что во время открытия Крымского моста (то есть, не «часто», а всего один раз) глобальную систему навигации сбивал передатчик, расположенный на этом мосту, и его работа ощущалась даже близ Анапы, расположенной в 65 км (а не милях) от этого места. И хотя мотивацию для подобных атак увидеть тяжелее, было бы ошибкой отметать их возможность. перев.]. «А так всё верно» (с) / прим.

«Однако малая стоимость, доступность в открытой продаже, и простота использования подобных технологий, даёт не только государствам, но и мятежникам, террористам и преступникам широкие возможности по дестабилизации государственных и негосударственных сетей». «У Российской федерации есть относительное преимущество в использовании и разработке возможностей обмана систем глобальной навигации», — предупреждает отчёт.

Атаки на КГС не обязательно проводить для того, чтобы вызывать аварии. И хотя подмена КГС кажется эзотерикой в 2019-м, вряд ли будет таким уж фантастическим предположение о том, что в грядущие годы она станет более привычным делом, по мере того, как технологии атак будут становиться понятнее, а программно управляемые радиопередатчики – распространённее. Их можно проводить для нарушения работы аэропортов, так, как незаконные дроны привели к закрытию аэропорта Гатвик в Лондоне в прошлом декабре, за несколько дней до рождества, а три недели спустя — аэропорта Хитроу.

– С точки зрения защиты эти атаки весьма критичны. «Деньги – это одна мотивация, а демонстрация силы – другая, — сказал Ранганатан. Об этом нужно позаботиться, поскольку в этом мире найдётся достаточно людей, которые захотят продемонстрировать силу».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть