La señal por la cual los aviones encuentran la pista se puede falsificar usando un walkie-talkie por $ 600
Un avión en una demostración de un ataque en la radio, debido a señales falsas de KGS , aterriza a la derecha de la pista de aterrizajeCasi cualquier avión que haya volado en los últimos 50 años, ya sea un avión monomotor Cessna o un avión gigante con 600 asientos, utilizó estaciones de radio para aterrizar con seguridad en los aeropuertos. Estos sistemas de trayectoria de planeo, CGS (inglés ILS, sistema de aterrizaje por instrumentos), se consideran sistemas de proximidad cercana, porque, a diferencia del GPS y otros sistemas de navegación, proporcionan información vital en tiempo real sobre la orientación horizontal de la aeronave en relación con el aterrizaje franja y ángulo de descenso vertical. En muchas condiciones, especialmente durante aterrizajes con niebla o lluvia durante la noche, esta radio navegación sigue siendo la principal forma de garantizar que el avión toque el suelo al comienzo de la franja y exactamente en el medio.
Al igual que muchas otras tecnologías creadas en el pasado, KGS no proporcionó protección contra la piratería. Las señales de radio no están encriptadas y su autenticidad no está confirmada. Los pilotos simplemente suponen que las señales de sonido recibidas por sus sistemas a la frecuencia asignada al aeropuerto son señales reales emitidas por el operador del aeropuerto. Durante muchos años, esta falta de seguridad no molestó a casi nadie, principalmente porque el costo y la complejidad de la falsificación de señales hicieron que los ataques fueran inútiles.
Pero ahora, los investigadores han desarrollado un método de piratería de bajo costo que plantea preguntas sobre la seguridad del CGS utilizado en casi todos los aeropuertos civiles en el mundo industrial. Usando una estación de radio
programable de $ 600, los investigadores pueden falsificar las señales del aeropuerto para que las herramientas de navegación del piloto muestren que el avión está fuera de curso. Según el entrenamiento, el piloto debe corregir la velocidad de descenso u orientación de la embarcación, creando así una amenaza para el accidente.
Una tecnología de ataque es que las señales falsas indican que el ángulo de descenso es más pequeño de lo que realmente es. El mensaje falsificado contiene el llamado la señal de "derribo" que informa al piloto sobre la necesidad de aumentar el ángulo de descenso, lo que puede llevar al avión a tocar el suelo antes del inicio de la pista de aterrizaje.
El video muestra una señal alterada de manera diferente que podría representar una amenaza para el aterrizaje del avión. El atacante puede enviar una señal informando al piloto que su avión está a la izquierda de la línea central de la pista de aterrizaje, cuando en realidad el avión está exactamente en el centro. El piloto reaccionará, tomando el avión a la derecha, por lo que eventualmente se desplazará hacia un lado.
Investigadores de la Northeastern University en Boston consultaron con un piloto y un experto en seguridad, y notaron con cautela que tal falsificación de señales es poco probable que conduzca a un accidente en la mayoría de los casos. Los fallos de funcionamiento en el CSC son una amenaza conocida para la seguridad de los vuelos, y los pilotos experimentados reciben capacitación detallada sobre cómo responder a ellos. En clima despejado, será fácil para el piloto notar que el avión no está alineado con la línea central de la franja, y podrá partir para la segunda ronda.
Otra razón para el escepticismo razonable es la complejidad del ataque. Además de una estación de radio programable, se requieren antenas direccionales y un amplificador. Todo este equipo será bastante difícil de introducir de contrabando en el avión si el hacker quiere llevar a cabo un ataque desde el avión. Si decide atacar desde el suelo, se necesitará mucho trabajo para nivelar el equipo con la pista de aterrizaje, sin llamar la atención. Además, los aeropuertos generalmente monitorean la interferencia a frecuencias críticas, lo que puede hacer que el ataque se detenga poco después del inicio.
En 2012, el investigador Brad Haines, conocido como
Renderman ,
descubrió vulnerabilidades en el sistema ADS-B (vigilancia dependiente automática-transmisión) que utilizan las aeronaves para determinar su ubicación y transmitir datos a otras aeronaves. Resumió las dificultades de una verdadera falsificación de las señales de KGS de la siguiente manera:
Si todo converge: ubicación, equipo oculto, mal tiempo, objetivo adecuado, atacante bien motivado, inteligente y financieramente capaz, ¿qué sucede? En el peor de los casos, el avión aterrizará en el césped, es posible que se produzcan lesiones o muertes, sin embargo, el desarrollo seguro de la aeronave y los equipos de respuesta rápida proporcionan una probabilidad muy baja de un gran incendio con la pérdida de la aeronave completa. En este caso, el aterrizaje se suspenderá y el atacante no podrá repetir esto. En el mejor de los casos, el piloto notará una discrepancia, ensuciará sus pantalones, aumentará su altura, pasará a la segunda ronda e informará que algo está mal con el CSC: el aeropuerto comenzará una investigación, lo que significa que el atacante ya no querrá quedarse cerca.
Entonces, si todo converge, entonces el resultado será mínimo. Compare esto con la relación de resultado a inversión y el efecto económico del caso cuando una cabra con un avión no tripulado voló alrededor del aeropuerto de Heathrow durante dos días durante dos días. Seguramente el dron era una opción más efectiva y funcional que tal ataque.
Aún así, los investigadores dicen que existen riesgos: las aeronaves que no caen en la trayectoria de planeo, la línea imaginaria que el avión sigue en el aterrizaje perfecto, son mucho más difíciles de detectar incluso con buen tiempo. Además, algunos aeropuertos ocupados, para evitar demoras, les dicen a los aviones que no se apresuren a salir para el segundo círculo, incluso en condiciones de poca visibilidad. Las
instrucciones de aterrizaje de la Administración Federal de Aviación de EE. UU., Seguidas por muchos aeropuertos de EE. UU., Indican que dicha decisión debe tomarse a una altitud de solo 15 m. Se aplican instrucciones similares en Europa. Le dejan al piloto muy poco tiempo para interrumpir de forma segura el aterrizaje si visualmente las condiciones del entorno no coinciden con los datos del CSC.
"La detección y recuperación en caso de falla de cualquier herramienta durante los procedimientos críticos de aterrizaje es una de las tareas más difíciles de la aviación moderna", escribieron los investigadores en su
trabajo titulado "Ataques inalámbricos en sistemas de trayectoria de planeo de aeronaves", adoptado el
28. Simposio de seguridad USENIX . "Dado lo mucho que los pilotos confían en CSG y las herramientas en general, las fallas y las interferencias maliciosas pueden tener consecuencias desastrosas, especialmente durante los ataques y vuelos autónomos".
¿Qué sucede con las fallas de CGS?
Varios touchdowns, que casi condujeron al desastre, demuestran el peligro de fallas de KGS. En 2011, un vuelo de SQ327 Singapore Airlines con 143 pasajeros y 15 miembros de la tripulación a bordo se inclinó repentinamente hacia la izquierda, a 10 metros sobre la pista de aterrizaje en el aeropuerto de Munich en Alemania. Después de aterrizar, el Boeing 777-300 se inclinó hacia la izquierda, luego giró a la derecha, cruzó la línea central y se detuvo cuando el chasis estaba en el césped a la derecha de la pista de aterrizaje.
Un
informe sobre el incidente, publicado por la Comisión Federal Alemana para la Investigación de Incidentes con Aeronaves, dice que el avión perdió el punto de aterrizaje a 500 metros.Los investigadores dijeron que uno de los autores del incidente fue la distorsión de las señales de la radiobaliza direccional en el avión de despegue. Aunque no se informaron víctimas, este evento subrayó la gravedad de la falla de los sistemas CGS. Otros incidentes relacionados con el fracaso del CSC, que casi terminaron en tragedia, incluyen el vuelo neozelandés NZ 60 en 2000 y el vuelo de Ryanair FR3531 en 2013. El video explica qué salió mal en este último caso.
Vibhab Sharma ha estado administrando la compañía de seguridad en Silicon Valley en todo el mundo y ha estado volando aviones pequeños desde 2006. También tiene una licencia de un operador de comunicaciones aficionado y participa de manera voluntaria en una patrulla aérea civil, donde recibió capacitación para un salvavidas y un operador de radio. Él controla el avión en el simulador X-Plane, demostrando un ataque de intercambio de señal que hace que el avión aterrice a la derecha de la pista de aterrizaje.
Sharma nos dijo:
Tal ataque al CGS es realista, pero su efectividad dependerá de una combinación de factores, incluido el conocimiento de los sistemas de navegación aérea de ataque y las condiciones de aproximación. Si se usa adecuadamente, el atacante podrá conducir la aeronave hacia los obstáculos que rodean el aeropuerto, y si esto se hace en condiciones de poca visibilidad, será muy difícil para el equipo piloto detectar desviaciones y lidiar con ellas.
Dijo que los ataques tienen el potencial de amenazar tanto a los aviones pequeños como a los grandes aviones a reacción, pero por varias razones. Los aviones pequeños se mueven a velocidades más bajas. Esto les da tiempo a los pilotos para reaccionar. Los grandes aviones a reacción, por otro lado, tienen más miembros en el equipo que pueden responder a eventos adversos, mientras que los pilotos de tales embarcaciones generalmente se entrenan con más frecuencia y más a fondo.
Dijo que lo más importante para los aviones grandes y pequeños sería evaluar las condiciones ambientales, en particular, el clima, durante el aterrizaje.
"Es probable que tal ataque sea más efectivo cuando los pilotos tienen que depender más de los instrumentos para llevar a cabo un aterrizaje exitoso", dijo Sharma. "Pueden ser aterrizajes nocturnos en condiciones de poca visibilidad, o una combinación de malas condiciones con un espacio aéreo cargado, que requiere más carga de trabajo de los pilotos, lo que los hace altamente dependientes de la automatización".
Aanjan Ranganatan, un investigador de la Northeastern University que ayudó a desarrollar el ataque, nos dijo que casi no hay razón para confiar en la ayuda del GPS en caso de falla de CSC. Las desviaciones de la pista de aterrizaje durante un ataque efectivo con sustitución serán de 10 a 15 metros, ya que todo eso será más, los pilotos y los controladores de tráfico aéreo podrán notarlo. El GPS podrá detectar tales desviaciones con gran dificultad. La segunda razón es que reemplazar las señales de GPS es muy fácil.
"Puedo reemplazar el GPS en paralelo con la sustitución del CGS", dijo Ranganatan. "Toda la cuestión es el grado de motivación del atacante".
CGS predecesor
Las pruebas del CSC comenzaron
en 1929 , y el primer sistema de trabajo se implementó en 1932 en el aeropuerto alemán Berlin-Tempelhof.
KGS sigue siendo uno de los sistemas de aterrizaje más efectivos. Otros enfoques, por ejemplo, una
baliza azimutal omnidireccional , una baliza de accionamiento, un sistema de posicionamiento global y sistemas de navegación por satélite similares, se consideran inexactos porque proporcionan solo orientación horizontal o lateral. Se considera que CGS es un sistema de aproximación preciso, ya que proporciona orientación tanto horizontal como vertical (trayectoria de planeo). En los últimos años, los sistemas inexactos se han utilizado cada vez menos. CGS se asocia cada vez más con pilotos automáticos y sistemas de aterrizaje automático.
Cómo funciona el CGS: rumbo de baliza de radio [localizador], pendiente de planeo [pendiente de planeo] y balizas de marcador [baliza de marcador]CGS tiene dos componentes clave. La radiobaliza direccional informa al piloto si el avión se desplaza hacia la izquierda o la derecha desde la línea central de la pista de aterrizaje, y la pendiente de la trayectoria de planeo dice si el ángulo de descenso es demasiado grande para que el avión no pase más allá del comienzo de la pista. El tercer componente son las balizas marcadoras. Funcionan como hitos, lo que permite al piloto determinar la distancia a la franja. Con el paso de los años, son reemplazados cada vez más por GPS y otras tecnologías.
La radiobaliza de aterrizaje utiliza dos conjuntos de antenas que emiten dos tonos diferentes, uno a 90 Hz y el otro a 150 Hz, y a una frecuencia asignada a una de las bandas de aterrizaje. Las matrices de antenas están ubicadas a ambos lados de la franja, generalmente después del punto de despegue, de modo que los sonidos se cancelan cuando el avión de aterrizaje se encuentra directamente sobre la línea central de la franja. El indicador de desviación muestra una línea vertical en el centro.
Si el avión se desvía a la derecha, el sonido a 150 Hz se vuelve más audible, por lo que el puntero del indicador de desviación se mueve a la izquierda del centro. Si el avión se desvía hacia la izquierda, el sonido a 90 Hz se vuelve más audible y el puntero se mueve hacia la derecha. La radiobaliza de aterrizaje, por supuesto, no puede reemplazar completamente el control visual de la posición de la aeronave, proporciona un medio clave y muy intuitivo de orientación. Los pilotos solo necesitan mantener el puntero en el centro para que el avión esté exactamente por encima de la línea central.
La pendiente de la trayectoria de planeo funciona aproximadamente igual, solo que muestra el ángulo de descenso de la aeronave en relación con el comienzo de la pista de aterrizaje. Cuando el ángulo de la aeronave es demasiado pequeño, el sonido a 90 Hz se vuelve más audible, y los instrumentos muestran que la aeronave debe bajarse. Cuando el descenso es demasiado fuerte, una señal a 150 Hz indica que la aeronave debe elevarse más. Cuando el avión permanece en el ángulo de trayectoria de planeo prescrito de aproximadamente tres grados, las señales se cancelan entre sí. Dos antenas de trayectoria de planeo están ubicadas en la torre a una cierta altura, determinada por el ángulo de inclinación de la trayectoria de planeo, adecuada para un aeropuerto en particular. La torre generalmente se encuentra cerca de la zona táctil de la franja.
Falso perfecto
Un ataque de investigadores de la Northeastern University utiliza transmisores de software disponibles comercialmente. Estos dispositivos, que se venden entre $ 400 y $ 600, transmiten señales que fingen ser señales reales enviadas por el CSC del aeropuerto. El transmisor de un atacante puede ubicarse tanto a bordo del avión atacado como en tierra, a una distancia de 5 km del aeropuerto. Si bien la señal de los atacantes excede la potencia de la señal real, el receptor KGS percibirá la señal del atacante y demostrará la orientación con respecto a las rutas de vuelo vertical y horizontal planificadas por el atacante.
Si la sustitución está mal organizada, el piloto verá cambios repentinos o erráticos en las lecturas de los dispositivos, lo que considerará un fallo del CSC. Para hacer que la falsificación sea más difícil de reconocer, el atacante puede determinar la ubicación exacta de la aeronave utilizando
AZN-V , un sistema que transmite la ubicación del GPS, la altura, la velocidad relativa al suelo y otros datos a las estaciones terrestres y otros barcos cada segundo.
Con esta información, el atacante puede comenzar a reemplazar la señal cuando el avión que se aproxima se ha desplazado hacia la izquierda o hacia la derecha en relación con la pista de aterrizaje, y enviarle una señal de que el avión va sin problemas. El mejor momento para un ataque sería cuando el avión acaba de pasar el punto de referencia, como se muestra en el video de demostración al comienzo del artículo.
Luego, el atacante puede aplicar un algoritmo de corrección y generación de señal en tiempo real que corrige constantemente la señal maliciosa para garantizar que el desplazamiento relativo a la ruta correcta corresponderá a todos los movimientos de la aeronave. Incluso si el atacante no tiene suficientes habilidades para hacer una señal falsa impecable, podrá confundir el CSC para que el piloto no pueda confiar en él al aterrizar.
Una opción de señal falsa se conoce como "ataque en la sombra". El atacante envía señales especialmente preparadas con una potencia mayor que la del transmisor del aeropuerto. Para esto, el transmisor de un atacante generalmente necesitará enviar 20 vatios de potencia. Los ataques de sombra hacen que sea más fácil intercambiar una señal de manera convincente.
Ataque de las sombrasLa segunda variante de sustitución de señal se conoce como "ataque de un color". Su ventaja es que es posible enviar sonido de la misma frecuencia con una potencia inferior a la del aeropuerto KGS. Tiene varios inconvenientes, por ejemplo, el atacante necesita conocer exactamente los detalles de la aeronave, por ejemplo, la ubicación de sus antenas CGS.
Ataque sólidoFalta de soluciones fáciles
Los investigadores dicen que no hay formas de eliminar la amenaza de los ataques de suplantación de identidad. Las tecnologías de navegación alternativas, que incluyen una baliza azimutal omnidireccional, una baliza accionada, un sistema de posicionamiento global y sistemas de navegación por satélite similares, son señales inalámbricas que no tienen un mecanismo de autenticación y, por lo tanto, son susceptibles a ataques de falsificación. Además, la información sobre las rutas de aproximación horizontal y vertical solo puede proporcionar CGS y GPS.
En su trabajo, los investigadores escriben:
La mayoría de los problemas de seguridad que enfrentan tecnologías como ADS-B , ACARS y TCAS se pueden solucionar mediante la implementación de la criptografía. Sin embargo, la criptografía no será suficiente para prevenir ataques localizados. Por ejemplo, el cifrado de señal GPS, similar a la tecnología de navegación militar, puede evitar ataques de falsificación en cierta medida. De todos modos, un atacante podrá redirigir las señales de GPS con los retrasos de tiempo necesarios y lograr una sustitución de la ubicación o el tiempo. Se puede obtener inspiración de la literatura existente sobre la prevención de ataques con suplantación de GPS y la creación de sistemas similares en el lado del receptor. Una alternativa podría ser la implementación de un sistema de localización segura a gran escala basado en la limitación de distancia y las técnicas de confirmación de aproximación segura. , , , .
La Administración Federal de Aviación de los Estados Unidos dijo que no tenían suficiente información sobre la demostración de los investigadores para comentar.Este ataque y una cantidad significativa de investigación realizada son impresionantes, pero no hay respuesta a la pregunta principal en el trabajo: ¿qué tan probable es que alguien quiera gastar esfuerzo en realizar tal ataque? Otros tipos de vulnerabilidades, por ejemplo, que permiten a los piratas informáticos instalar de forma remota programas maliciosos en las computadoras de los usuarios, o eludir los sistemas de cifrado populares, son fáciles de monetizar. Este no es el caso con el ataque de sustitución. Los ataques que amenazan la vida de los marcapasos y otros dispositivos médicos pertenecen a la misma categoría.Aunque la motivación para tales ataques es más difícil de ver, sería un error descartar su posibilidad. Un informe publicado en mayo por C4ADS, una organización sin fines de lucro que cubre conflictos globales y seguridad interestatal, indica que la Federación de Rusia a menudo ha estado involucrada en pruebas a gran escala de mal funcionamiento del sistema GPS, como resultado de lo cual los sistemas de navegación del barco estaban equivocados en su ubicación durante 65 millas o más [ en de hecho, el informe indica que durante la apertura del puente de Crimea (es decir, no "a menudo", sino solo una vez) el transmisor ubicado en él fue golpeado por el sistema de navegación global m hasta el puente, y su trabajo se sintió incluso cerca de Anapa, ubicada a 65 km (y no millas) de este lugar. "Y así todo es verdad" (c) / aprox. perev. ]
"La Federación de Rusia tiene una ventaja relativa en el uso y desarrollo de las capacidades de engañar a los sistemas de navegación global", advierte el informe. "Sin embargo, el bajo costo, la disponibilidad de ventas abiertas y la facilidad de uso de tales tecnologías, brinda no solo a los estados, sino también a los rebeldes, terroristas y delincuentes amplias oportunidades para desestabilizar las redes estatales y no estatales".Y aunque la sustitución de CGS parece ser el esoterismo en 2019, es poco probable que sea tan fantástico suponer que en los próximos años se volverá más familiar, a medida que las tecnologías de ataque se vuelvan más comprensibles y los transmisores de radio controlados por software se vuelvan más comunes. Los ataques a KGS no tienen que llevarse a cabo para causar accidentes. Se pueden llevar a cabo para interrumpir la operación de los aeropuertos, ya que los drones ilegales llevaron al cierre del aeropuerto de Gatwick en Londres en diciembre pasado, unos días antes de Navidad, y tres semanas después, el aeropuerto de Heathrow."El dinero es una motivación, y una demostración de fortaleza es otra", dijo Ranganatan. - Desde el punto de vista de la defensa, estos ataques son muy críticos. Esto debe ser resuelto, porque en este mundo hay suficientes personas que quieren demostrar su fortaleza ".