O sinal pelo qual os aviões encontram a pista pode ser falsificado usando um walkie-talkie por US $ 600
Um avião em demonstração de um ataque ao rádio, devido a falsos sinais KGS , aterrissa à direita da pista de pousoQuase todas as aeronaves que voaram nos últimos 50 anos - seja um avião Cessna monomotor ou um avião gigante com 600 assentos - usaram a ajuda de estações de rádio para pousar com segurança nos aeroportos. Esses sistemas de trajetória planada, CGS (inglês ILS, sistema de pouso por instrumentos), são considerados sistemas de proximidade, porque, diferentemente do GPS e de outros sistemas de navegação, fornecem informações vitais em tempo real sobre a orientação horizontal da aeronave em relação ao pouso faixa e ângulo de descida vertical. Em muitas condições - especialmente durante pousos com neblina ou chuva durante a noite - essa navegação por rádio continua sendo a principal maneira de garantir que o avião toque o solo no início da faixa e exatamente no meio.
Como muitas outras tecnologias criadas no passado, a KGS não forneceu proteção contra hackers. Os sinais de rádio não são criptografados e sua autenticidade não é confirmada. Os pilotos simplesmente assumem que os sinais sonoros recebidos por seus sistemas na frequência atribuída ao aeroporto são sinais reais transmitidos pelo operador do aeroporto. Por muitos anos, essa falta de segurança incomodou quase ninguém, principalmente porque o custo e a complexidade da falsificação de sinal tornaram os ataques inúteis.
Mas agora, os pesquisadores desenvolveram um método de hacking de baixo custo que levanta questões sobre a segurança do CGS usado em quase todos os aeroportos civis do mundo industrial. Usando uma estação de rádio
programável de US $ 600, os pesquisadores podem falsificar sinais de aeroportos, para que as ferramentas de navegação do piloto mostrem que o avião está fora do curso. De acordo com o treinamento, o piloto deve corrigir a velocidade de descida ou a orientação da embarcação, criando assim uma ameaça ao acidente.
Uma tecnologia de ataque é que sinais falsos indicam que o ângulo de descida é menor do que realmente é. A mensagem falsificada contém os chamados o sinal de “decolagem” informando o piloto sobre a necessidade de aumentar o ângulo de descida, o que pode levar o avião a tocar o chão antes do início da pista de pouso.
O vídeo mostra um sinal adulterado de forma diferente que pode representar uma ameaça ao pouso da aeronave. O atacante pode enviar um sinal informando ao piloto que seu avião está à esquerda da linha central da pista de pouso, quando na verdade o avião está exatamente no centro. O piloto reagirá, levando o avião para a direita, motivo pelo qual, eventualmente, mudará para o lado.
Pesquisadores da Northeastern University, em Boston, consultaram um piloto e especialista em segurança e observam com cautela que é improvável que essa falsificação de sinal leve a um acidente na maioria dos casos. O mau funcionamento do CSC é uma ameaça conhecida à segurança de vôo, e pilotos experientes passam por treinamento detalhado sobre como responder a eles. Em tempo limpo, será fácil para o piloto perceber que o avião não está alinhado com a linha central da pista e ele poderá sair para o segundo turno.
Outro motivo para um ceticismo razoável é a complexidade do ataque. Além de uma estação de rádio programável, são necessárias antenas direcionais e um amplificador. Todo esse equipamento será bastante difícil de contrabandear para o avião se o hacker quiser realizar um ataque da aeronave. Se ele decidir atacar do chão, será preciso muito trabalho para nivelar o equipamento com a pista de pouso, sem atrair atenção. Além disso, os aeroportos geralmente monitoram interferências em frequências críticas, o que pode causar a parada do ataque logo após o início.
Em 2012, o pesquisador Brad Haines, conhecido como
Renderman ,
descobriu vulnerabilidades no sistema ADS-B (transmissão automática de vigilância dependente) que as aeronaves usam para determinar sua localização e transmitir dados para outras aeronaves. Ele resumiu as dificuldades de uma verdadeira falsificação dos sinais da KGS da seguinte maneira:
Se tudo convergir - localização, equipamento oculto, mau tempo, alvo adequado, atacante bem motivado, inteligente e com capacidade financeira - o que acontece? Na pior das hipóteses, o avião aterrissará na grama, possíveis ferimentos ou mortes; no entanto, o desenvolvimento seguro da aeronave e as equipes de resposta rápida fornecem uma probabilidade muito baixa de um grande incêndio com a perda de toda a aeronave. Nesse caso, o desembarque será suspenso e o atacante não poderá repetir isso. No melhor dos casos, o piloto notará uma discrepância, sujará as calças, aumentará sua altura, passará para o segundo turno e informará que algo está errado com o CSC - o aeroporto iniciará uma investigação, o que significa que o atacante não deseja mais ficar nas proximidades.
Portanto, se tudo convergir, o resultado será mínimo. Compare isso com a razão entre o resultado e o investimento e o efeito econômico do caso quando uma cabra com um drone voou pelo aeroporto de Heathrow por dois dias durante dois dias. Certamente o drone era uma opção mais eficaz e funcional do que um ataque desse tipo.
Ainda assim, os pesquisadores afirmam que há riscos: as aeronaves que não caem no caminho de planagem - a linha imaginária que o avião segue em pouso perfeito - são muito mais difíceis de detectar, mesmo com o tempo bom. Além disso, alguns aeroportos movimentados, para evitar atrasos, dizem aos aviões que não se apressem em sair para o segundo círculo, mesmo em condições de baixa visibilidade. As
instruções de desembarque da Administração Federal de Aviação dos EUA, que são seguidas por muitos aeroportos dos EUA, indicam que essa decisão deve ser tomada a uma altitude de apenas 15 m. Instruções semelhantes se aplicam na Europa. Eles deixam muito pouco tempo para o piloto interromper com segurança o pouso, se visualmente as condições ao redor não corresponderem aos dados do CSC.
“Detectar e recuperar em caso de falha de qualquer ferramenta durante procedimentos críticos de aterrissagem é uma das tarefas mais difíceis da aviação moderna”, escreveram os pesquisadores em seu
trabalho intitulado “Ataques sem fio em sistemas de planadores de aeronaves”, adotado no dia
28 Simpósio de Segurança USENIX . "Dado o quão fortemente os pilotos dependem do CGS e das ferramentas em geral, falhas e interferências maliciosas podem levar a conseqüências desastrosas, especialmente durante abordagens e vôos autônomos".
O que acontece com as falhas do CGS
Vários touchdowns, que quase levaram ao desastre, demonstram o perigo de falhas do KGS. Em 2011, um voo da SQ327 Singapore Airlines com 143 passageiros e 15 tripulantes a bordo inclinou-se subitamente para a esquerda, 10 metros acima da pista de pouso no aeroporto de Munique, na Alemanha. Após o pouso, o Boeing 777-300 inclinou-se para a esquerda, depois virou à direita, cruzou a linha central e parou quando o chassi estava na grama à direita da pista de pouso.
Um
relatório sobre o incidente, publicado pela Comissão Federal Alemã para Investigação de Incidentes com Aeronaves, diz que o avião perdeu o ponto de aterrissagem a 500 metros e os investigadores disseram que um dos autores do incidente foi a distorção dos sinais do sinal de rádio direcional na aeronave de decolagem. Embora nenhuma vítima tenha sido relatada, esse evento destacou a gravidade da falha dos sistemas CGS. Outros incidentes envolvendo a falha do CSC, que quase terminou em tragédia, incluem o voo da Nova Zelândia NZ 60 em 2000 e o voo da Ryanair FR3531 em 2013. O vídeo explica o que deu errado no último caso.
A Vibhab Sharma gerencia a empresa de segurança no Vale do Silício em todo o mundo e opera pequenos aviões desde 2006. Ele também possui uma licença de um operador de comunicações amador e participa voluntariamente de uma patrulha aérea civil, onde foi treinado para um salva-vidas e um operador de rádio. Ele controla a aeronave no simulador X-Plane, demonstrando um ataque de troca de sinal que faz com que a aeronave aterrisse à direita da pista de pouso.
Sharma nos disse:
Tal ataque ao CGS é realista, mas sua eficácia dependerá de uma combinação de fatores, incluindo o conhecimento dos sistemas de navegação aérea de ataque e as condições de aproximação. Se usado adequadamente, o atacante será capaz de conduzir a aeronave em direção a obstáculos que cercam o aeroporto e, se isso for feito em condições de baixa visibilidade, será muito difícil para a equipe piloto detectar desvios e lidar com eles.
Ele disse que os ataques têm o potencial de ameaçar aeronaves pequenas e grandes, mas por várias razões. Aviões pequenos se movem em velocidades mais baixas. Isso dá aos pilotos tempo para reagir. Os grandes aviões a jato, por outro lado, têm mais membros na equipe que podem responder a eventos adversos, enquanto os pilotos de tais embarcações geralmente são treinados com mais frequência e profundidade.
Ele disse que o mais importante para aeronaves grandes e pequenas seria avaliar as condições ambientais, em particular o clima, durante o pouso.
"Tal ataque provavelmente será mais eficaz quando os pilotos tiverem que confiar mais em instrumentos para realizar um pouso bem-sucedido", afirmou Sharma. “Pode ser pousos noturnos em condições de baixa visibilidade ou uma combinação de condições ruins com um espaço aéreo carregado, exigindo mais carga de trabalho dos pilotos, o que os torna altamente dependentes da automação.”
Aanjan Ranganatan, pesquisador da Northeastern University que ajudou a desenvolver o ataque, nos disse que quase não há razão para confiar na ajuda do GPS em caso de falha do CSC. Os desvios da pista de pouso durante um ataque efetivo com substituição serão de 10 a 15 metros, já que tudo o que será maior, pilotos e controladores de tráfego aéreo poderão perceber. O GPS poderá detectar esses desvios com grande dificuldade. A segunda razão é que a substituição de sinais de GPS é muito fácil.
"Eu posso substituir o GPS em paralelo com a substituição do CGS", disse Ranganatan. "A questão toda é o grau de motivação do atacante."
Predecessor CGS
Os testes do CSC começaram
em 1929 e o primeiro sistema de trabalho foi implantado em 1932 no aeroporto alemão Berlin-Tempelhof.
KGS continua sendo um dos sistemas de pouso mais eficazes. Outras abordagens, por exemplo, um
farol azimutal omnidirecional , um farol de acionamento, um sistema de posicionamento global e sistemas de navegação por satélite similares, são consideradas imprecisas porque fornecem apenas orientação horizontal ou lateral. O CGS é considerado um sistema de abordagem preciso, pois fornece orientação horizontal e vertical (caminho da planagem). Nos últimos anos, sistemas imprecisos têm sido usados cada vez menos. O CGS está cada vez mais associado a pilotos automáticos e sistemas de pouso automático.
Como o CGS funciona: direcionando o sinalizador de rádio [localizador], a inclinação de deslizamento [glideslope] e os sinalizadores [sinalizador]O CGS possui dois componentes principais. O sinalizador de rádio direcional informa o piloto se o avião é deslocado para a esquerda ou direita a partir da linha central da pista de pouso, e a inclinação do caminho de planeio indica se o ângulo de descida é muito grande para que o avião não perca o início da faixa. O terceiro componente são os faróis de marcadores. Eles funcionam como marcos, permitindo ao piloto determinar a distância até a faixa. Ao longo dos anos, eles estão sendo cada vez mais substituídos por GPS e outras tecnologias.
O sinalizador de rádio de pouso do curso usa dois conjuntos de antenas emitindo dois diferentes em tom - um em 90 Hz e outro em 150 Hz - e em uma frequência atribuída a uma das faixas de pouso. As matrizes de antena estão localizadas nos dois lados da faixa, geralmente após o ponto de decolagem, e os sons são cancelados quando a aeronave de pouso está localizada diretamente acima da linha central da faixa. O indicador de desvio mostra uma linha vertical no centro.
Se o plano se desvia para a direita, o som a 150 Hz se torna mais audível, e é por isso que o ponteiro do indicador de desvio se move para a esquerda do centro. Se o plano se desviar para a esquerda, o som a 90 Hz se tornará mais audível e o ponteiro se moverá para a direita. O farol de rádio de pouso do curso, é claro, não pode substituir completamente o controle visual da posição da aeronave, ele fornece um meio de orientação essencial e muito intuitivo. Os pilotos só precisam manter o ponteiro no centro para que o avião fique exatamente acima da linha central.
A inclinação da pista de planeio funciona aproximadamente da mesma maneira, apenas mostra o ângulo de descida da aeronave em relação ao início da pista de pouso. Quando o ângulo da aeronave é muito pequeno, o som a 90 Hz se torna mais audível e os instrumentos mostram que a aeronave precisa ser abaixada. Quando a descida é muito acentuada, um sinal a 150 Hz indica que a aeronave precisa ser mais alta. Quando o plano permanece no ângulo prescrito da trajetória de deslizamento de cerca de três graus, os sinais se cancelam. Duas antenas de caminho de planeio estão localizadas na torre a uma certa altura, determinada pelo ângulo de inclinação do caminho de planeio, adequado para um aeroporto específico. A torre geralmente está localizada perto da zona de toque da faixa.
Falsificação impecável
Um ataque de pesquisadores da Northeastern University usa transmissores de software disponíveis comercialmente. Esses dispositivos, vendidos entre US $ 400 e US $ 600, transmitem sinais que fingem ser sinais reais enviados pelo CSC do aeroporto. O transmissor de um atacante pode estar localizado a bordo da aeronave atacada e no solo, a uma distância de 5 km do aeroporto. Enquanto o sinal dos atacantes exceder a potência do sinal real, o receptor do CSC perceberá o sinal do atacante e demonstrará a orientação em relação às rotas de vôo verticais e horizontais planejadas pelo atacante.
Se a substituição for mal organizada, o piloto verá mudanças repentinas ou erráticas nas leituras dos dispositivos, que ele considerará uma falha do CSC. Para tornar o falso mais difícil de reconhecer, o atacante pode determinar a localização exata da aeronave usando o
AZN-V , um sistema que transmite a localização do GPS, altura, velocidade em relação ao solo e outros dados para estações terrestres e outros navios a cada segundo.
Usando essas informações, o atacante pode começar a substituir o sinal quando o avião se aproximar da esquerda ou da direita em relação à pista de pouso e enviar a ele um sinal de que o avião está indo bem. O melhor momento para um ataque seria quando o avião ultrapassasse o waypoint, conforme mostrado no vídeo de demonstração no início do artigo.
Em seguida, o invasor pode aplicar um algoritmo de correção e geração de sinal em tempo real que corrigirá constantemente o sinal malicioso para garantir que o deslocamento relativo ao caminho correto corresponda a todos os movimentos da aeronave. Mesmo que o atacante não possua habilidades suficientes para emitir um sinal falso perfeito, ele poderá confundir o CSC para que o piloto não possa confiar nele ao pousar.
Uma opção falsa de sinal é conhecida como "ataque de sombra". O atacante envia sinais especialmente preparados com uma potência maior que a do transmissor do aeroporto. Para isso, o transmissor de um invasor geralmente precisará enviar 20 watts de energia. Os ataques sombreados facilitam a troca convincente de um sinal.
Ataque sombrioA segunda variante da substituição de sinal é conhecida como "ataque de uma cor". Sua vantagem é que é possível enviar som da mesma frequência com uma potência menor que a do aeroporto da KGS. Ele tem várias desvantagens, por exemplo, o atacante precisa conhecer exatamente as especificidades da aeronave - por exemplo, a localização de suas antenas CGS.
Ataque sólidoFalta de soluções fáceis
Os pesquisadores dizem que não há maneiras de eliminar a ameaça de ataques de falsificação. Tecnologias alternativas de navegação - incluindo um farol azimutal omnidirecional, um farol dirigido, um sistema de posicionamento global e sistemas similares de navegação por satélite - são sinais sem fio que não possuem um mecanismo de autenticação e, portanto, suscetíveis a ataques de falsificação. Além disso, informações sobre os caminhos de aproximação horizontal e vertical podem fornecer apenas CGS e GPS.
Em seu trabalho, os pesquisadores escrevem:
A maioria dos problemas de segurança enfrentados por tecnologias como ADS-B , ACARS e TCAS pode ser corrigida através da implementação de criptografia. No entanto, a criptografia não será suficiente para impedir ataques localizados. Por exemplo, a criptografia de sinal de GPS, semelhante à tecnologia de navegação militar, pode impedir ataques de falsificação em certa medida. De qualquer forma, um invasor poderá redirecionar sinais de GPS com os atrasos de tempo necessários e conseguir uma substituição de local ou hora. Pode-se inspirar na literatura existente sobre a prevenção de ataques com falsificação de GPS e a criação de sistemas semelhantes no lado do receptor. Uma alternativa poderia ser a implementação de um sistema de localização segura em larga escala com base nas técnicas de limitação de distância e confirmação de abordagem segura. , , , .
A Administração Federal de Aviação dos EUA disse que não tinha informações suficientes sobre a manifestação conduzida pelos pesquisadores para comentar.Esse ataque e uma quantidade significativa de pesquisas realizadas são impressionantes, mas não há resposta para a pergunta principal do trabalho - qual a probabilidade de alguém querer se esforçar para realizar esse ataque? Outros tipos de vulnerabilidades, por exemplo, permitindo que hackers instalem remotamente programas maliciosos nos computadores dos usuários ou ignorem os sistemas de criptografia populares, são fáceis de monetizar. Este não é o caso do ataque de substituição. Ataques com risco de vida a marca-passos e outros dispositivos médicos se enquadram na mesma categoria.Embora a motivação para esses ataques seja mais difícil de ver, seria um erro descartar a possibilidade deles. Um relatório publicado em maio pela C4ADS, uma organização sem fins lucrativos que cobre conflitos globais e segurança interestadual, indica que a Federação Russa esteve frequentemente envolvida em testes em larga escala de mau funcionamento do sistema GPS, como resultado dos quais sistemas de navegação de navios estavam errados em sua localização por 100 quilômetros ou mais [ on de fato, o relatório afirma que durante a abertura da ponte da Crimeia (isto é, não "frequentemente", mas apenas uma vez), o transmissor localizado nela foi atingido pelo sistema de navegação global m até a ponte, e seu trabalho foi sentido mesmo perto de Anapa, localizado a 65 km (e não milhas) deste local. “E então tudo é verdade” (c) / aprox. perev. ]
"A Federação Russa tem uma vantagem relativa em usar e desenvolver os recursos de enganar os sistemas de navegação global", alerta o relatório. "No entanto, o baixo custo, a disponibilidade de vendas abertas e a facilidade de uso de tais tecnologias oferecem não apenas estados, mas também rebeldes, terroristas e criminosos amplas oportunidades para desestabilizar redes estatais e não estatais".E embora a substituição do CGS pareça ser esoterismo em 2019, é improvável que seja tão fantástico supor que nos próximos anos ele se torne mais familiar, à medida que as tecnologias de ataque se tornarem mais compreensíveis e os transmissores de rádio controlados por software se tornarem mais comuns. Ataques ao KGS não são necessários para causar acidentes. Eles podem ser executados para atrapalhar a operação dos aeroportos, uma vez que drones ilegais levaram ao fechamento do aeroporto de Gatwick, em Londres, em dezembro passado, alguns dias antes do Natal e três semanas depois - no aeroporto de Heathrow."O dinheiro é uma motivação e uma demonstração de força é outra", disse Ranganatan. - Do ponto de vista da defesa, esses ataques são muito críticos. Isso deve ser resolvido, porque neste mundo há pessoas suficientes que querem demonstrar força. ”