Sinyal yang digunakan pesawat untuk menemukan landasan pacu dapat dipalsukan menggunakan walkie-talkie seharga $ 600
Sebuah pesawat dalam demonstrasi serangan di radio, karena sinyal KGS palsu, mendarat di sebelah kanan jalur pendaratanHampir setiap pesawat yang terbang dalam 50 tahun terakhir - apakah itu pesawat bermesin tunggal Cessna atau pesawat raksasa dengan 600 kursi - menggunakan stasiun radio untuk mendarat dengan selamat di bandara. Sistem jalur luncur jalur, CGS (ILS Inggris, sistem pendaratan instrumen), dianggap sebagai sistem jarak dekat, karena, tidak seperti GPS dan sistem navigasi lainnya, mereka memberikan informasi penting secara real time tentang orientasi horizontal pesawat relatif terhadap pendaratan. strip dan sudut vertikal keturunan. Dalam banyak kondisi - terutama saat pendaratan dalam kabut atau hujan di malam hari - navigasi radio ini tetap menjadi cara utama untuk memastikan bahwa pesawat menyentuh tanah di awal jalur dan tepat di tengah.
Seperti banyak teknologi lain yang dibuat di masa lalu, KGS tidak memberikan perlindungan terhadap peretasan. Sinyal radio tidak dienkripsi, dan keasliannya tidak dikonfirmasi. Pilot hanya berasumsi bahwa sinyal suara yang diterima oleh sistem mereka pada frekuensi yang ditetapkan ke bandara adalah sinyal nyata yang disiarkan oleh operator bandara. Selama bertahun-tahun, kurangnya keamanan ini hampir tidak mengganggu siapa pun, terutama karena biaya dan kompleksitas pemalsuan sinyal membuat serangan tidak ada gunanya.
Tetapi sekarang, para peneliti telah mengembangkan metode peretasan berbiaya rendah yang menimbulkan pertanyaan tentang keamanan CGS yang digunakan di hampir setiap bandara sipil di dunia industri. Dengan menggunakan stasiun radio yang dapat
diprogram seharga $ 600, para peneliti dapat memalsukan sinyal bandara sehingga alat navigasi pilot menunjukkan bahwa pesawat itu sedang keluar jalur. Menurut pelatihan, pilot harus mengoreksi kecepatan keturunan atau orientasi kapal, sehingga menciptakan ancaman kecelakaan.
Salah satu teknologi serangan adalah bahwa sinyal palsu menunjukkan bahwa sudut keturunan lebih kecil daripada yang sebenarnya. Pesan yang dipalsukan berisi apa yang disebut sinyal "turun" yang memberi tahu pilot tentang perlunya meningkatkan sudut keturunan, yang dapat menyebabkan pesawat menyentuh tanah sebelum dimulainya jalur pendaratan.
Video tersebut menunjukkan sinyal yang dirusak secara berbeda yang dapat menimbulkan ancaman bagi pendaratan pesawat. Penyerang dapat mengirim sinyal untuk memberi tahu pilot bahwa pesawatnya ada di sebelah kiri garis tengah jalur pendaratan, padahal sebenarnya pesawat itu persis di tengah. Pilot akan bereaksi, mengambil pesawat ke kanan, itulah sebabnya ia akhirnya akan bergeser ke samping.
Para peneliti di Northeastern University di Boston berkonsultasi dengan seorang pilot dan pakar keamanan, dan dengan hati-hati mencatat bahwa pemalsuan sinyal seperti itu tidak akan mengarah pada kecelakaan dalam banyak kasus. Kegagalan fungsi dalam CSC diketahui sebagai ancaman terhadap keselamatan penerbangan, dan pilot berpengalaman menjalani pelatihan terperinci tentang bagaimana meresponsnya. Dalam cuaca yang cerah, akan mudah bagi pilot untuk memperhatikan bahwa pesawat tidak sejajar dengan garis tengah strip, dan ia akan dapat pergi ke putaran kedua.
Alasan lain untuk skeptisisme yang masuk akal adalah kompleksitas serangan. Selain stasiun radio yang dapat diprogram, diperlukan antena directional dan amplifier. Semua peralatan ini akan cukup sulit untuk diselundupkan ke dalam pesawat jika peretas ingin melakukan serangan dari pesawat. Jika dia memutuskan untuk menyerang dari tanah, itu akan membutuhkan banyak pekerjaan untuk meratakan peralatan dengan strip pendaratan, tanpa menarik perhatian. Selain itu, bandara biasanya memantau gangguan pada frekuensi kritis, yang dapat menyebabkan serangan dihentikan segera setelah start.
Pada 2012, peneliti Brad Haines, yang dikenal sebagai
Renderman ,
menemukan kerentanan dalam sistem ADS-B (penyiaran pengawasan otomatis) yang digunakan pesawat untuk menentukan lokasi mereka dan mengirimkan data ke pesawat lain. Dia menyimpulkan kesulitan palsu palsu sinyal KGS sebagai berikut:
Jika semuanya bertemu - lokasi, peralatan tersembunyi, cuaca buruk, target yang sesuai, bermotivasi baik, penyerang cerdas dan mampu secara finansial - apa yang terjadi? Dalam skenario terburuk, pesawat akan mendarat di rerumputan, cedera atau kematian mungkin terjadi, namun, pengembangan yang aman dari pesawat dan tim respons cepat memberikan kemungkinan sangat rendah terjadinya kebakaran besar dengan hilangnya seluruh pesawat. Dalam hal ini, pendaratan akan ditangguhkan, dan penyerang tidak akan dapat mengulangi ini. Dalam kasus terbaik, pilot akan melihat perbedaan, membuat celananya kotor, menambah tinggi badannya, pergi ke putaran kedua, dan melaporkan bahwa ada sesuatu yang salah dengan CSC - bandara akan memulai penyelidikan, yang berarti bahwa penyerang tidak akan lagi ingin tinggal di dekatnya.
Jadi, jika semuanya bertemu, maka hasilnya akan minimal. Bandingkan ini dengan rasio hasil terhadap investasi dan efek ekonomi dari kasus ketika satu kambing dengan drone terbang di sekitar Bandara Heathrow selama dua hari selama dua hari. Tentunya drone adalah pilihan yang lebih efektif dan efektif daripada serangan semacam itu.
Namun, para peneliti mengatakan bahwa ada risiko. Pesawat yang tidak jatuh ke jalur luncur - garis imajiner yang mengikuti pesawat dalam pendaratan yang sempurna - jauh lebih sulit untuk dideteksi bahkan dalam cuaca cerah. Selain itu, beberapa bandara yang sibuk, untuk menghindari penundaan, memberi tahu pesawat untuk tidak terburu-buru pergi ke lingkaran kedua bahkan dalam kondisi visibilitas yang buruk.
Instruksi pendaratan dari Administrasi Penerbangan Federal AS, yang diikuti oleh banyak bandara AS, menunjukkan bahwa keputusan seperti itu harus dibuat pada ketinggian hanya 15 m. Instruksi serupa berlaku di Eropa. Mereka meninggalkan pilot sangat sedikit waktu untuk dengan aman mengganggu pendaratan jika secara visual kondisi di sekitarnya tidak cocok dengan data dari CSC.
"Mendeteksi dan memulihkan jika terjadi kegagalan alat apa pun selama prosedur pendaratan kritis adalah salah satu tugas paling sulit dari penerbangan modern," tulis para peneliti dalam
karya mereka yang berjudul "Serangan nirkabel pada sistem jalur luncur pesawat", diadopsi pada tanggal
28 Simposium Keamanan USENIX . “Mengingat seberapa banyak pilot bergantung pada CSG dan alat-alat secara umum, kegagalan dan gangguan berbahaya dapat menyebabkan konsekuensi yang berbahaya, terutama selama penggerebekan dan penerbangan otonom.”
Apa yang terjadi dengan kegagalan CGS
Beberapa gol, yang hampir menyebabkan bencana, menunjukkan bahaya kegagalan KGS. Pada 2011, penerbangan SQ327 Singapore Airlines dengan 143 penumpang dan 15 anggota awak tiba-tiba miring ke kiri, berada 10 meter di atas landasan pendaratan di Bandara Munich di Jerman. Setelah mendarat, Boeing 777-300 bersandar ke kiri, lalu berbelok ke kanan, melintasi garis tengah dan berhenti ketika sasis berada di rumput di sebelah kanan strip pendaratan.
Sebuah
laporan tentang insiden tersebut, yang diterbitkan oleh Komisi Federal Jerman untuk Investigasi Insiden dengan Pesawat, mengatakan bahwa pesawat tersebut melewatkan titik pendaratan setinggi 500 meter. Para penyelidik mengatakan bahwa salah satu pelaku insiden tersebut adalah distorsi sinyal dari sinyal radio directional pada pesawat take-off. Meskipun tidak ada korban yang dilaporkan, peristiwa ini menggarisbawahi keseriusan kegagalan sistem CGS. Insiden lain yang melibatkan kegagalan CSC, yang hampir berakhir dengan tragedi, termasuk penerbangan Selandia Baru NZ 60 pada 2000 dan penerbangan Ryanair FR3531 pada 2013. Video tersebut menjelaskan apa yang salah dalam kasus terakhir.
Vibhab Sharma telah mengelola perusahaan keamanan di Lembah Silikon di seluruh dunia dan telah menerbangkan pesawat kecil sejak 2006. Dia juga memiliki lisensi dari operator komunikasi amatir dan berpartisipasi secara sukarela dalam patroli udara sipil, di mana dia menjalani pelatihan untuk operator penjaga pantai dan radio. Dia mengendalikan pesawat di simulator X-Plane, menunjukkan serangan pertukaran sinyal yang menyebabkan pesawat mendarat di sebelah kanan jalur pendaratan.
Sharma memberi tahu kami:
Serangan seperti itu pada CGS adalah realistis, tetapi efektivitasnya akan tergantung pada kombinasi faktor, termasuk pengetahuan tentang sistem navigasi penerbangan menyerang dan kondisi pada pendekatan. Jika digunakan dengan tepat, penyerang akan dapat memimpin pesawat menuju rintangan di sekitar bandara, dan jika ini dilakukan dalam kondisi visibilitas yang buruk, akan sangat sulit bagi tim pilot untuk mendeteksi penyimpangan dan menanganinya.
Dia mengatakan serangan memiliki potensi untuk mengancam pesawat kecil dan besar, tetapi karena berbagai alasan. Pesawat kecil bergerak dengan kecepatan lebih rendah. Ini memberi pilot waktu untuk bereaksi. Pesawat jet besar, di sisi lain, memiliki lebih banyak anggota dalam tim yang dapat merespons peristiwa buruk, sementara pilot dari kapal tersebut biasanya dilatih lebih sering dan lebih menyeluruh.
Dia mengatakan bahwa hal yang paling penting untuk pesawat besar dan kecil adalah menilai kondisi lingkungan, khususnya cuaca, selama pendaratan.
"Serangan seperti itu kemungkinan akan lebih efektif ketika pilot harus lebih mengandalkan instrumen untuk melakukan pendaratan yang sukses," kata Sharma. "Ini bisa berupa pendaratan malam hari dalam kondisi visibilitas yang buruk, atau kombinasi kondisi buruk dengan ruang udara yang dimuat, membutuhkan lebih banyak beban kerja dari pilot, yang membuat mereka sangat bergantung pada otomatisasi."
Aanjan Ranganatan, seorang peneliti dari Northeastern University yang membantu mengembangkan serangan, mengatakan kepada kami bahwa hampir tidak ada alasan untuk mengandalkan bantuan GPS jika terjadi kegagalan CSC. Penyimpangan dari landasan pendaratan selama serangan yang efektif dengan substitusi akan dari 10 hingga 15 meter, karena semua itu akan lebih, pilot dan pengawas lalu lintas udara akan dapat memperhatikan. GPS akan dapat mendeteksi penyimpangan tersebut dengan kesulitan besar. Alasan kedua adalah mengganti sinyal GPS sangat mudah.
"Saya bisa mengganti GPS secara paralel dengan penggantian CGS," kata Ranganatan. "Seluruh pertanyaan adalah tingkat motivasi penyerang."
Pendahulu CGS
Tes CSC dimulai
kembali pada tahun 1929 , dan sistem kerja pertama dikerahkan pada tahun 1932 di bandara Jerman Berlin-Tempelhof.
KGS tetap menjadi salah satu sistem pendaratan yang paling efektif. Pendekatan lain, misalnya,
suar azimut omnidirectional ,
suar drive, sistem penentuan posisi global dan sistem navigasi satelit serupa, dianggap tidak akurat karena hanya menyediakan orientasi horizontal atau lateral. CGS dianggap sebagai sistem pendekatan yang akurat, karena memberikan orientasi horisontal dan vertikal (jalur luncur). Dalam beberapa tahun terakhir, sistem yang tidak akurat semakin jarang digunakan. CGS semakin dikaitkan dengan sistem autopilot dan pendaratan otomatis.
Cara kerja CGS: menuju suar radio [localizer], glide slope [glideslope] dan marker beacon [marker beacon]CGS memiliki dua komponen utama. Suar radio terarah menginformasikan pilot apakah pesawat bergeser ke kiri atau kanan dari garis tengah jalur pendaratan, dan kemiringan jalur luncuran mengatakan apakah sudut keturunan terlalu besar sehingga pesawat tidak ketinggalan melewati awal jalur. Komponen ketiga adalah marker beacon. Mereka bekerja sebagai tonggak, memungkinkan pilot untuk menentukan jarak ke strip. Selama bertahun-tahun, mereka semakin digantikan oleh GPS dan teknologi lainnya.
Suar radio pendaratan saja menggunakan dua set antena yang memancarkan dua nada yang berbeda - satu di 90 Hz, dan yang lainnya di 150 Hz - dan pada frekuensi yang ditetapkan ke salah satu band pendaratan. Susunan antena terletak di kedua sisi strip, biasanya setelah titik take-off, dan sehingga suara dibatalkan ketika pesawat pendarat terletak tepat di atas garis tengah strip. Indikator deviasi menunjukkan garis vertikal di tengah.
Jika pesawat menyimpang ke kanan, suara pada 150 Hz menjadi lebih terdengar, itulah sebabnya penunjuk indikator deviasi bergerak ke kiri tengah. Jika pesawat menyimpang ke kiri, suara pada 90 Hz menjadi lebih terdengar, dan penunjuk bergerak ke kanan. Suar radio pendaratan saja, tentu saja, tidak dapat sepenuhnya menggantikan kontrol visual dari posisi pesawat, ia memberikan kunci dan cara orientasi yang sangat intuitif. Pilot hanya perlu menyimpan penunjuk di tengah agar pesawat tepat di atas garis tengah.
Kemiringan jalur luncur bekerja kira-kira sama, hanya saja ia menunjukkan sudut penurunan pesawat relatif terhadap awal jalur pendaratan. Ketika sudut pesawat terlalu kecil, suara pada 90 Hz menjadi lebih terdengar, dan instrumen menunjukkan bahwa pesawat perlu diturunkan. Ketika turun terlalu tajam, sinyal pada 150 Hz menunjukkan bahwa pesawat harus diambil lebih tinggi. Ketika pesawat tetap pada sudut luncuran yang ditentukan sekitar tiga derajat, sinyal membatalkan satu sama lain. Dua antena jalur luncur terletak di menara pada ketinggian tertentu, ditentukan oleh sudut kemiringan lintasan luncur, cocok untuk bandara tertentu. Menara ini biasanya terletak di dekat zona sentuh strip.
Palsu tanpa cacat
Serangan oleh peneliti dari Northeastern University menggunakan pemancar perangkat lunak yang tersedia secara komersial. Perangkat ini, menjual antara $ 400 - $ 600, mengirimkan sinyal yang berpura-pura menjadi sinyal nyata yang dikirim oleh CSC bandara. Pemancar penyerang dapat ditemukan di atas pesawat yang diserang dan di darat, pada jarak 5 km dari bandara. Sementara sinyal penyerang melebihi kekuatan sinyal nyata, penerima CSC akan menerima sinyal penyerang, dan menunjukkan orientasi sehubungan dengan jalur penerbangan vertikal dan horizontal yang direncanakan oleh penyerang.
Jika substitusi tidak terorganisir dengan baik, pilot akan melihat perubahan tiba-tiba atau tidak menentu dalam pembacaan perangkat, yang akan diambilnya karena kegagalan CSC. Untuk membuat yang palsu lebih sulit dikenali, penyerang dapat menentukan lokasi pasti pesawat menggunakan
AZN-V , sistem yang mentransmisikan lokasi GPS, ketinggian, kecepatan relatif ke tanah, dan data lainnya ke stasiun darat dan kapal lain setiap detik.
Dengan menggunakan informasi ini, penyerang dapat mulai mengganti sinyal ketika pesawat yang mendekat telah bergeser ke kiri atau kanan relatif terhadap jalur pendaratan, dan mengirimkannya sinyal bahwa pesawat berjalan dengan lancar. Waktu terbaik untuk serangan adalah ketika pesawat baru saja melewati titik arah, seperti yang ditunjukkan dalam video demo di awal artikel.
Kemudian penyerang dapat menerapkan koreksi sinyal waktu nyata dan algoritma pembangkitan yang akan terus memperbaiki sinyal jahat untuk memastikan bahwa offset relatif terhadap jalur yang benar akan sesuai dengan semua pergerakan pesawat. Bahkan jika penyerang tidak memiliki keterampilan yang cukup untuk membuat sinyal palsu yang sempurna, ia akan dapat membingungkan CSC sehingga pilot tidak dapat mengandalkannya ketika mendarat.
Salah satu opsi sinyal palsu dikenal sebagai "serangan bayangan". Penyerang mengirimkan sinyal yang disiapkan khusus dengan kekuatan lebih besar dari pemancar bandara. Untuk ini, pemancar penyerang biasanya perlu mengirim daya 20 watt. Serangan bayangan membuat lebih mudah untuk menukar sinyal secara meyakinkan.
Serangan bayanganVarian kedua dari substitusi sinyal dikenal sebagai "serangan satu warna". Keuntungannya adalah memungkinkan untuk mengirim suara dengan frekuensi yang sama dengan daya kurang dari bandara KGS. Ini memiliki beberapa kelemahan, misalnya, penyerang perlu mengetahui spesifikasi pesawat dengan tepat - misalnya, lokasi antena CGS-nya.
Serangan yang solidKurangnya solusi mudah
Para peneliti mengatakan tidak ada cara untuk menghilangkan ancaman serangan spoofing. Teknologi navigasi alternatif - termasuk beacon azimuthal omnidirectional, drive beacon, sistem penentuan posisi global dan sistem navigasi satelit serupa - adalah sinyal nirkabel yang tidak memiliki mekanisme otentikasi, dan karenanya rentan terhadap serangan spoofing.
Selain itu, informasi tentang jalur peroleh horizontal dan vertikal hanya dapat memberikan CGS dan GPS.Dalam karya mereka, para peneliti menulis:Sebagian besar masalah keamanan yang terkait oleh teknologi seperti ADS-B , ACARS dan TCAS , , . . , GPS, , . GPS- , . GPS . , . , , , .
Administrasi Penerbangan Federal A.S. mengatakan mereka tidak memiliki informasi yang cukup tentang demonstrasi yang dilakukan oleh para peneliti untuk berkomentar.Serangan ini dan sejumlah besar penelitian yang dilakukan mengesankan, tetapi tidak ada jawaban untuk pertanyaan utama - seberapa besar kemungkinan seseorang ingin melakukan upaya untuk mewujudkan serangan seperti itu? Jenis kerentanan lain, misalnya, memungkinkan peretas untuk menginstal program jahat dari jarak jauh di komputer pengguna, atau mem-bypass sistem enkripsi populer, mudah untuk menghasilkan uang. Ini tidak terjadi dengan serangan substitusi. Serangan yang mengancam jiwa pada alat pacu jantung dan perangkat medis lainnya termasuk dalam kategori yang sama.Meskipun motivasi untuk serangan seperti itu lebih sulit dilihat, itu akan menjadi kesalahan untuk membuang kemungkinan mereka. Sebuah laporan yang diterbitkan pada bulan Mei oleh C4ADS, sebuah organisasi nirlaba yang mencakup konflik global dan keamanan antarnegara, menunjukkan bahwa Federasi Rusia sering terlibat dalam uji coba besar-besaran kerusakan sistem GPS, akibatnya sistem navigasi kapal salah di lokasi mereka selama 65 mil atau lebih [ pada sebenarnya, laporan itu menyatakan bahwa selama pembukaan jembatan Krimea (yaitu, tidak "sering", tetapi hanya sekali) pemancar yang terletak di atasnya merobohkan sistem navigasi global m ke jembatan, dan karyanya terasa bahkan di dekat Anapa, terletak 65 km (dan bukan mil) dari tempat ini. “Dan semuanya benar” (c) / kira-kira. perev. ]
"Federasi Rusia memiliki keunggulan relatif dalam menggunakan dan mengembangkan kemampuan memenangkan sistem navigasi global," demikian pernyataan itu. "Namun, biaya rendah, menyetujui penjualan terbuka, dan mempermudah penggunaan teknologi itu, tidak hanya memberi negara bagian, tetapi juga memberontak, pertahanan, dan penjahat banyak peluang untuk mengacaukan jaringan negara dan.Dan meskipun substitusi CGS tampaknya menjadi esoterisme pada tahun 2019, tidak mungkin menjadi begitu fantastis untuk mengasumsikan bahwa di tahun-tahun mendatang akan menjadi lebih akrab, karena teknologi serangan menjadi lebih dimengerti, dan pemancar radio yang dikendalikan oleh perangkat lunak menjadi lebih umum. Serangan pada KGS tidak harus dilakukan untuk menyebabkan kecelakaan. Mereka dapat dilakukan untuk mengganggu operasi bandara, karena drone ilegal menyebabkan penutupan Bandara Gatwick di London Desember lalu, beberapa hari sebelum Natal, dan tiga minggu kemudian - Bandara Heathrow.“Uang adalah satu motivasi, dan unjuk kekuatan adalah yang lain,” kata Ranganatan. - Dari sudut pandang pertahanan, serangan ini sangat kritis. Ini harus dijaga, karena di dunia ini ada cukup banyak orang yang ingin menunjukkan kekuatan. "