Das Signal, mit dem Flugzeuge die Landebahn finden, kann mit einem Walkie-Talkie für 600 US-Dollar gefälscht werden
Ein Flugzeug in einer Demonstration eines Angriffs auf das Radio aufgrund gefälschter KGS- Signale landet rechts von der LandebahnFast jedes Flugzeug, das in den letzten 50 Jahren geflogen ist - sei es ein einmotoriges Cessna-Flugzeug oder ein riesiges Verkehrsflugzeug mit 600 Sitzplätzen - nutzte die Hilfe von Radiosendern, um sicher auf Flughäfen zu landen. Diese Kurs-Gleit-Pfad-Systeme, CGS (English ILS, Instrument Landing System), gelten als Nahbereichssysteme, da sie im Gegensatz zu GPS und anderen Navigationssystemen in Echtzeit wichtige Informationen über die horizontale Ausrichtung des Flugzeugs relativ zur Landung liefern Streifen und vertikaler Abstiegswinkel. Unter vielen Bedingungen - insbesondere bei Landungen im Nebel oder bei Regen in der Nacht - bleibt diese Funknavigation die Hauptmethode, um sicherzustellen, dass das Flugzeug den Boden am Anfang des Streifens und genau in der Mitte berührt.
Wie viele andere in der Vergangenheit entwickelte Technologien bot KGS keinen Schutz vor Hacking. Funksignale werden nicht verschlüsselt und ihre Echtheit wird nicht bestätigt. Piloten gehen einfach davon aus, dass die von ihren Systemen mit der dem Flughafen zugewiesenen Frequenz empfangenen Tonsignale echte Signale sind, die vom Flughafenbetreiber gesendet werden. Viele Jahre lang störte dieser Mangel an Sicherheit fast niemanden, hauptsächlich weil die Kosten und die Komplexität der Signalfälschung Angriffe sinnlos machten.
Jetzt haben Forscher eine kostengünstige Hacking-Methode entwickelt, die Fragen zur Sicherheit von CGS aufwirft, die in fast allen zivilen Flughäfen der Industrie eingesetzt werden. Mithilfe eines
programmierbaren Radiosenders im Wert von 600 US-Dollar können Forscher Flughafensignale fälschen, sodass die Navigationswerkzeuge des Piloten anzeigen, dass das Flugzeug vom Kurs abweicht. Entsprechend der Schulung muss der Pilot die Sinkgeschwindigkeit oder Ausrichtung des Schiffes korrigieren, wodurch eine Unfallgefahr entsteht.
Eine Angriffstechnologie besteht darin, dass gefälschte Signale anzeigen, dass der Abstiegswinkel kleiner ist als er tatsächlich ist. Die gefälschte Nachricht enthält die sogenannte Das Signal „Abnehmen“ informiert den Piloten über die Notwendigkeit, den Sinkwinkel zu vergrößern. Dies kann dazu führen, dass das Flugzeug vor dem Start der Landebahn den Boden berührt.
Das Video zeigt ein anders manipuliertes Signal, das die Landung des Flugzeugs gefährden könnte. Der Angreifer kann ein Signal senden, das den Piloten darüber informiert, dass sich sein Flugzeug links von der Mittellinie der Landebahn befindet, obwohl sich das Flugzeug tatsächlich genau in der Mitte befindet. Der Pilot reagiert und nimmt das Flugzeug nach rechts, weshalb es sich schließlich zur Seite verschiebt.
Forscher der Northeastern University in Boston haben sich mit einem Piloten und Sicherheitsexperten beraten und stellen vorsichtig fest, dass eine solche Signalfälschung in den meisten Fällen wahrscheinlich nicht zu einem Unfall führt. Fehlfunktionen im CSC stellen eine bekannte Bedrohung für die Flugsicherheit dar, und erfahrene Piloten werden ausführlich geschult, wie sie darauf reagieren sollen. Bei klarem Wetter kann der Pilot leicht feststellen, dass das Flugzeug nicht mit der Mittellinie des Streifens ausgerichtet ist, und er kann in die zweite Runde aufbrechen.
Ein weiterer Grund für vernünftige Skepsis ist die Komplexität des Angriffs. Neben einem programmierbaren Radiosender sind Richtantennen und ein Verstärker erforderlich. All diese Ausrüstung wird ziemlich schwer in das Flugzeug zu schmuggeln sein, wenn der Hacker einen Angriff vom Flugzeug aus ausführen will. Wenn er sich entscheidet, vom Boden aus anzugreifen, wird es viel Arbeit kosten, die Ausrüstung mit der Landebahn auszurichten, ohne Aufmerksamkeit zu erregen. Darüber hinaus überwachen Flughäfen normalerweise Störungen bei kritischen Frequenzen, die dazu führen können, dass der Angriff kurz nach dem Start gestoppt wird.
Im Jahr 2012 entdeckte der als
Renderman bekannte Forscher Brad Haines
Schwachstellen im ADS-B-System (Automatic Dependent Surveillance Broadcasting), mit dem Flugzeuge ihren Standort bestimmen und Daten an andere Flugzeuge übertragen. Er fasste die Schwierigkeiten einer echten Fälschung von KGS-Signalen wie folgt zusammen:
Wenn alles zusammenwächst - Standort, versteckte Ausrüstung, schlechtes Wetter, geeignetes Ziel, gut motivierter, kluger und finanziell fähiger Angreifer - was passiert dann? Im schlimmsten Fall landet das Flugzeug auf dem Rasen, Verletzungen oder Todesfälle sind möglich. Die sichere Entwicklung des Flugzeugs und die schnellen Reaktionsteams bieten jedoch eine sehr geringe Wahrscheinlichkeit eines Großbrands mit dem Verlust des gesamten Flugzeugs. In diesem Fall wird die Landung ausgesetzt und der Angreifer kann dies nicht wiederholen. Im besten Fall wird der Pilot eine Diskrepanz bemerken, seine Hosen schmutzig machen, seine Größe erhöhen, in die zweite Runde gehen und melden, dass etwas mit dem CSC nicht stimmt - der Flughafen wird eine Untersuchung einleiten, was bedeutet, dass der Angreifer nicht länger in der Nähe bleiben möchte.
Wenn also alles konvergiert, ist das Ergebnis minimal. Vergleichen Sie dies mit dem Verhältnis von Ergebnis zu Investition und den wirtschaftlichen Auswirkungen des Falls, wenn eine Ziege mit einer Drohne zwei Tage lang zwei Tage lang um den Flughafen Heathrow flog. Sicherlich war die Drohne eine effektivere und funktionierende Option als ein solcher Angriff.
Dennoch sagen die Forscher, dass es Risiken gibt. Flugzeuge, die nicht in den Gleitweg fallen - die imaginäre Linie, der das Flugzeug bei perfekter Landung folgt - sind selbst bei schönem Wetter viel schwerer zu erkennen. Um Verspätungen zu vermeiden, weisen einige stark frequentierte Flughäfen die Flugzeuge an, auch bei schlechten Sichtverhältnissen nicht in den zweiten Kreis zu fliegen. Landeanweisungen der US Federal Aviation Administration, denen viele US-Flughäfen folgen, weisen darauf hin, dass eine solche Entscheidung in einer Höhe von nur 15 m getroffen werden sollte. Ähnliche Anweisungen gelten in Europa. Sie lassen dem Piloten nur sehr wenig Zeit, um die Landung sicher zu unterbrechen, wenn die Umgebungsbedingungen visuell nicht mit den Daten des CSC übereinstimmen.
"Das Erkennen und Wiederherstellen bei Ausfall von Werkzeugen während kritischer Landevorgänge ist eine der schwierigsten Aufgaben der modernen Luftfahrt", schrieben die Forscher in ihrer am
28. verabschiedeten
Arbeit mit dem Titel "Drahtlose Angriffe auf Gleitwegsysteme von Flugzeugen"
USENIX-Sicherheitssymposium . "Angesichts der Tatsache, dass Piloten im Allgemeinen auf CSG und Tools angewiesen sind, können Fehler und böswillige Eingriffe katastrophale Folgen haben, insbesondere bei autonomen Überfällen und Flügen."
Was passiert mit CGS-Fehlern?
Mehrere Touchdowns, die fast zu einer Katastrophe führten, zeigen die Gefahr eines Ausfalls von KGS. Im Jahr 2011 neigte sich ein Flug der SQ327 Singapore Airlines mit 143 Passagieren und 15 Besatzungsmitgliedern an Bord plötzlich nach links und befand sich 10 Meter über der Landebahn des deutschen Flughafens München. Nach der Landung neigte sich die Boeing 777-300 nach links, bog dann nach rechts ab, überquerte die Mittellinie und hielt an, als sich das Fahrgestell rechts von der Landebahn im Gras befand.
In einem von der Bundeskommission für die Untersuchung von Vorfällen mit Flugzeugen veröffentlichten
Bericht über den Vorfall heißt es, dass das Flugzeug den Landepunkt auf 500 Metern verfehlt habe. Die Ermittler sagten, einer der Täter des Vorfalls sei die Verzerrung der Signale des Richtfunkfeuers am Startflugzeug gewesen. Obwohl keine Opfer gemeldet wurden, unterstrich dieses Ereignis die Schwere des Ausfalls der CGS-Systeme. Weitere Vorfälle mit dem Scheitern des CSC, die fast in einer Tragödie endeten, waren der neuseeländische Flug NZ 60 im Jahr 2000 und der Flug von Ryanair FR3531 im Jahr 2013. Das Video erklärt, was im letzteren Fall schief gelaufen ist.
Vibhab Sharma leitet das Sicherheitsunternehmen im Silicon Valley weltweit und fliegt seit 2006 kleine Flugzeuge. Er hat auch eine Lizenz von einem Amateur-Kommunikationsbetreiber und nimmt freiwillig an einer zivilen Luftpatrouille teil, bei der er eine Ausbildung zum Rettungsschwimmer und Funker absolvierte. Er steuert das Flugzeug im X-Plane-Simulator und demonstriert einen Signalwechselangriff, bei dem das Flugzeug rechts von der Landebahn landet.
Sharma sagte uns:
Ein solcher Angriff auf das CGS ist realistisch, aber seine Wirksamkeit hängt von einer Kombination von Faktoren ab, einschließlich der Kenntnis der angreifenden Flugsicherungssysteme und der Bedingungen beim Anflug. Bei sachgemäßer Verwendung kann der Angreifer das Flugzeug zu Hindernissen rund um den Flughafen führen. Wenn dies bei schlechten Sichtverhältnissen geschieht, ist es für das Pilotteam sehr schwierig, Abweichungen zu erkennen und zu beseitigen.
Er sagte, dass die Angriffe das Potenzial haben, sowohl kleine Flugzeuge als auch große Düsenflugzeuge zu bedrohen, aber aus verschiedenen Gründen. Kleine Flugzeuge bewegen sich mit niedrigeren Geschwindigkeiten. Dies gibt den Piloten Zeit zu reagieren. Große Düsenflugzeuge hingegen haben mehr Mitglieder im Team, die auf unerwünschte Ereignisse reagieren können, während Piloten solcher Schiffe in der Regel häufiger und gründlicher geschult werden.
Er sagte, dass das Wichtigste für große und kleine Flugzeuge darin bestehe, die Umgebungsbedingungen, insbesondere das Wetter, während der Landung zu bewerten.
"Ein solcher Angriff ist wahrscheinlich effektiver, wenn Piloten sich mehr auf Instrumente verlassen müssen, um eine erfolgreiche Landung durchzuführen", sagte Sharma. "Es kann sich um Nachtlandungen bei schlechten Sichtverhältnissen oder um eine Kombination von schlechten Bedingungen mit einem beladenen Luftraum handeln, bei denen die Piloten mehr Arbeit benötigen, was sie stark von der Automatisierung abhängig macht."
Aanjan Ranganatan, ein Forscher der Northeastern University, der an der Entwicklung des Angriffs mitgewirkt hat, sagte uns, dass es fast keinen Grund gibt, sich bei einem CSC-Fehler auf die GPS-Hilfe zu verlassen. Die Abweichungen von der Landebahn während eines effektiven Angriffs mit Substitution betragen 10 bis 15 Meter, da Piloten und Fluglotsen dies nur bemerken können. GPS kann solche Abweichungen nur schwer erkennen. Der zweite Grund ist, dass das Ersetzen von GPS-Signalen sehr einfach ist.
"Ich kann das GPS parallel zum Austausch des CGS ersetzen", sagte Ranganatan. "Die ganze Frage ist der Grad der Motivation des Angreifers."
CGS-Vorgänger
Die Tests des CSC begannen
bereits 1929 und das erste funktionierende System wurde 1932 auf dem deutschen Flughafen Berlin-Tempelhof eingesetzt.
KGS bleibt eines der effektivsten Landesysteme. Andere Ansätze, beispielsweise eine
omnidirektionale Azimut-Bake , eine Antriebsbake, ein globales Positionierungssystem und ähnliche Satellitennavigationssysteme, werden als ungenau angesehen, da sie nur eine horizontale oder laterale Ausrichtung bieten. CGS wird als genaues Annäherungssystem angesehen, da es sowohl eine horizontale als auch eine vertikale Ausrichtung (Gleitpfad) bietet. In den letzten Jahren wurden immer weniger ungenaue Systeme verwendet. CGS wird zunehmend mit Autopiloten und Autolandesystemen in Verbindung gebracht.
Funktionsweise von CGS: Überschrift Radio Beacon [Localizer], Glide Slope [Glideslope] und Marker Beacons [Marker Beacon]CGS besteht aus zwei Schlüsselkomponenten. Das Richtungsfunkgerät informiert den Piloten darüber, ob das Flugzeug von der Mittellinie der Landebahn nach links oder rechts verschoben ist, und die Neigung des Gleitwegs gibt an, ob der Sinkwinkel zu groß ist, damit das Flugzeug nicht über den Streifenanfang hinaus verfehlt. Die dritte Komponente sind Markierungsbaken. Sie fungieren als Meilensteine und ermöglichen es dem Piloten, den Abstand zum Streifen zu bestimmen. Im Laufe der Jahre werden sie zunehmend durch GPS und andere Technologien ersetzt.
Das Kurslande-Funkfeuer verwendet zwei Antennensätze, die zwei unterschiedliche Tonhöhen aussenden - einen bei 90 Hz und einen bei 150 Hz - und eine Frequenz, die einem der Landebänder zugewiesen ist. Antennenarrays befinden sich normalerweise nach dem Startpunkt auf beiden Seiten des Streifens, sodass sich die Geräusche aufheben, wenn sich das Landeflugzeug direkt über der Mittellinie des Streifens befindet. Die Abweichungsanzeige zeigt eine vertikale Linie in der Mitte.
Wenn die Ebene nach rechts abweicht, wird der Schall bei 150 Hz hörbarer, weshalb sich der Abweichungsanzeigezeiger links von der Mitte bewegt. Wenn die Ebene nach links abweicht, wird der Ton bei 90 Hz hörbarer und der Zeiger bewegt sich nach rechts. Das Funkgerät für die Kurslandung kann natürlich die visuelle Kontrolle der Position des Flugzeugs nicht vollständig ersetzen. Es bietet eine wichtige und sehr intuitive Orientierungshilfe. Piloten müssen nur den Zeiger in der Mitte halten, damit sich die Ebene genau über der Mittellinie befindet.
Die Neigung des Gleitweges funktioniert ungefähr gleich, nur zeigt sie den Sinkwinkel des Flugzeugs relativ zum Beginn der Landebahn. Wenn der Winkel des Flugzeugs zu klein ist, wird der Schall bei 90 Hz hörbarer und die Instrumente zeigen, dass das Flugzeug abgesenkt werden muss. Wenn der Sinkflug zu scharf ist, zeigt ein Signal mit 150 Hz an, dass das Flugzeug höher genommen werden muss. Wenn die Ebene im vorgeschriebenen Gleitwegwinkel von etwa drei Grad bleibt, heben sich die Signale gegenseitig auf. Zwei Gleitwegantennen befinden sich auf dem Turm in einer bestimmten Höhe, die durch den Neigungswinkel des Gleitweges bestimmt wird und für einen bestimmten Flughafen geeignet ist. Der Turm befindet sich normalerweise in der Nähe der Berührungszone des Streifens.
Makellose Fälschung
Bei einem Angriff von Forschern der Northeastern University werden handelsübliche Software-Sender verwendet. Diese Geräte, die zwischen 400 und 600 US-Dollar verkaufen, senden Signale, die so tun, als wären sie echte Signale, die vom CSC des Flughafens gesendet werden. Der Sender eines Angreifers kann sich sowohl an Bord des angegriffenen Flugzeugs als auch am Boden in einer Entfernung von 5 km vom Flughafen befinden. Während das Signal der Angreifer die Leistung des realen Signals überschreitet, nimmt der KGS-Empfänger das Signal des Angreifers wahr und demonstriert die Ausrichtung in Bezug auf die vom Angreifer geplanten vertikalen und horizontalen Flugwege.
Wenn die Substitution schlecht organisiert ist, sieht der Pilot plötzliche oder unregelmäßige Änderungen der Messwerte der Geräte, die er für einen Ausfall des CSC heranzieht. Um die Erkennung der Fälschung zu erschweren, kann der Angreifer mithilfe von
AZN-V , einem System, das den GPS-Standort, die Höhe, die Bodengeschwindigkeit und andere Daten des Flugzeugs jede Sekunde an Bodenstationen und andere Schiffe überträgt, den genauen Standort des Flugzeugs ermitteln.
Mit diesen Informationen kann der Angreifer beginnen, das Signal zu ersetzen, wenn sich das sich nähernde Flugzeug relativ zur Landebahn nach links oder rechts verschoben hat, und ihm ein Signal senden, dass das Flugzeug reibungslos fliegt. Die beste Zeit für einen Angriff wäre, wenn das Flugzeug gerade den Wegpunkt passiert hat, wie im Demo-Video am Anfang des Artikels gezeigt.
Dann kann der Angreifer einen Echtzeit-Signalkorrektur- und -generierungsalgorithmus anwenden, der das schädliche Signal ständig korrigiert, um sicherzustellen, dass der Versatz relativ zum richtigen Pfad allen Bewegungen des Flugzeugs entspricht. Selbst wenn der Angreifer nicht über genügend Fähigkeiten verfügt, um ein fehlerfreies gefälschtes Signal zu erzeugen, kann er das CSC verwirren, sodass sich der Pilot bei der Landung nicht darauf verlassen kann.
Eine Signal-Fake-Option wird als "Schattenangriff" bezeichnet. Der Angreifer sendet speziell vorbereitete Signale mit einer Leistung, die größer ist als die des Flughafensenders. Dazu muss der Sender eines Angreifers normalerweise 20 Watt Leistung senden. Schattenangriffe erleichtern das überzeugende Austauschen eines Signals.
SchattenangriffDie zweite Variante der Signalsubstitution ist als "Einfarbenangriff" bekannt. Sein Vorteil ist, dass es möglich ist, Schall mit derselben Frequenz mit einer Leistung zu senden, die geringer ist als die des KGS-Flughafens. Es hat mehrere Nachteile, zum Beispiel muss der Angreifer die Besonderheiten des Flugzeugs genau kennen - zum Beispiel den Standort seiner CGS-Antennen.
Solider AngriffMangel an einfachen Lösungen
Forscher sagen, dass es keine Möglichkeiten gibt, die Gefahr von Spoofing-Angriffen zu beseitigen. Alternative Navigationstechnologien - einschließlich eines omnidirektionalen Azimut-Beacons, eines Drive-Beacons, eines globalen Positionierungssystems und ähnlicher Satellitennavigationssysteme - sind drahtlose Signale ohne Authentifizierungsmechanismus und daher anfällig für Spoofing-Angriffe. Darüber hinaus können Informationen über die horizontalen und vertikalen Anflugpfade nur CGS und GPS liefern.
In ihrer Arbeit schreiben Forscher:
Die meisten Sicherheitsprobleme bei Technologien wie ADS-B , ACARS und TCAS können durch Implementierung der Kryptografie behoben werden. Kryptografie reicht jedoch nicht aus, um lokalisierte Angriffe zu verhindern. Beispielsweise kann die GPS-Signalverschlüsselung, ähnlich wie bei der militärischen Navigationstechnologie, Spoofing-Angriffe bis zu einem gewissen Grad verhindern. Auf jeden Fall kann ein Angreifer GPS-Signale mit den erforderlichen Zeitverzögerungen umleiten und eine Ersetzung von Ort oder Zeit erreichen. Inspiration kann aus der vorhandenen Literatur zur Verhinderung von Angriffen mit GPS-Spoofing und zur Schaffung ähnlicher Systeme auf der Empfängerseite gewonnen werden. Eine Alternative könnte die Implementierung eines groß angelegten sicheren Lokalisierungssystems sein, das auf Entfernungsbegrenzungs- und Bestätigungsverfahren für sichere Ansätze basiert. , , , .
Die US-Luftfahrtbehörde Federal Aviation Administration gab an, nicht genügend Informationen über die Demonstration der Forscher zu haben, um Kommentare abzugeben.Dieser Angriff und der umfangreiche Forschungsaufwand sind beeindruckend, aber es gibt keine Antwort auf die Hauptfrage: Wie wahrscheinlich ist es, dass jemand Anstrengungen unternehmen möchte, um einen solchen Angriff zu realisieren? Andere Arten von Sicherheitslücken, beispielsweise die Möglichkeit für Hacker, schädliche Programme remote auf den Computern der Benutzer zu installieren oder gängige Verschlüsselungssysteme zu umgehen, lassen sich leicht monetarisieren. Dies ist beim Substitutionsangriff nicht der Fall. Lebensbedrohliche Angriffe auf Herzschrittmacher und andere medizinische Geräte fallen in dieselbe Kategorie.Obwohl die Motivation für solche Angriffe schwerer zu erkennen ist, wäre es ein Fehler, ihre Möglichkeit zu verwerfen. Ein im Mai von C4ADS, einer gemeinnützigen Organisation, die sich mit globalen Konflikten und zwischenstaatlicher Sicherheit befasst, veröffentlichter Bericht zeigt, dass die Russische Föderation häufig an groß angelegten Versuchen mit Fehlfunktionen von GPS-Systemen beteiligt war, aufgrund derer Schiffsnavigationssysteme 65 Meilen oder mehr an ihrem Standort falsch lagen Tatsächlich heißt es in dem Bericht, dass der darauf befindliche Sender während der Öffnung der Krimbrücke (dh nicht „oft“, sondern nur einmal) vom globalen Navigationssystem getroffen wurde m zur Brücke, und seine Arbeit war sogar in der Nähe von Anapa zu spüren, 65 km (und nicht Meilen) von diesem Ort entfernt. "Und so ist alles wahr" (c) / ca. perev. ].
"Die Russische Föderation hat einen relativen Vorteil bei der Nutzung und Entwicklung der Möglichkeiten, globale Navigationssysteme zu betrügen", warnt der Bericht. "Die niedrigen Kosten, die Verfügbarkeit offener Verkäufe und die einfache Nutzung solcher Technologien bieten jedoch nicht nur Staaten, sondern auch Rebellen, Terroristen und Kriminellen zahlreiche Möglichkeiten, staatliche und nichtstaatliche Netzwerke zu destabilisieren."Und obwohl die Substitution von CGS im Jahr 2019 eine Esoterik zu sein scheint, ist es unwahrscheinlich, dass man davon ausgeht, dass sie in den kommenden Jahren vertrauter wird, wenn Angriffstechnologien verständlicher werden und softwaregesteuerte Funksender häufiger werden. Angriffe auf KGS müssen nicht durchgeführt werden, um Unfälle zu verursachen. Sie können durchgeführt werden, um den Betrieb von Flughäfen zu stören, da illegale Drohnen im Dezember letzten Jahres, wenige Tage vor Weihnachten, und drei Wochen später, dem Flughafen Heathrow, zur Schließung des Flughafens Gatwick in London führten."Geld ist eine Motivation, und ein Zeichen der Stärke ist eine andere", sagte Ranganatan. - Aus Sicht der Verteidigung sind diese Angriffe sehr kritisch. Dafür muss gesorgt werden, denn auf dieser Welt gibt es genug Menschen, die Stärke zeigen wollen. “