可以使用对讲机以600美元的价格伪造飞机找到跑道的信号
演示中的一架飞机由于虚假的KGS信号而受到无线电攻击的攻击,降落在着陆带的右侧在过去的50年中,几乎所有飞行的飞机-都是塞斯纳(Cessna)单引擎飞机还是拥有600个座位的巨型客机-都使用无线电台在机场安全着陆。 这些航线下滑系统CGS(ILS,仪表着陆系统)被认为是近距离系统,因为与GPS和其他导航系统不同,它们实时提供有关飞机相对于着陆的水平方向的重要信息带和下降的垂直角度。 在许多情况下,尤其是在雾天降落或在夜间下雨时,这种无线电导航仍然是确保飞机在带材起点处以及恰好在中间接触地面的主要方法。
像过去创建的许多其他技术一样,KGS并未提供防止黑客入侵的保护措施。 无线电信号未加密,并且其真实性未得到确认。 飞行员仅假设其系统以分配给机场的频率接收到的声音信号是由机场运营商广播的真实信号。 多年来,这种缺乏安全性的困扰几乎没人困扰,主要是因为信号篡改的成本和复杂性使攻击毫无意义。
但是现在,研究人员已经开发出一种低成本的黑客攻击方法,这引发了人们对工业界几乎所有民用机场中使用的CGS的安全性的疑问。 研究人员可以使用一个价格为600美元的
可编程广播电台来伪造机场信号,以便飞行员的导航工具显示飞机偏离了方向。 根据培训,飞行员必须纠正下降速度或船只的方向,从而对事故造成威胁。
一种攻击技术是假信号表明下降角度小于实际角度。 伪造的邮件包含所谓的 “降落”信号通知飞行员需要增加下降角度,这可能导致飞机在降落跑道开始前接触地面。
视频显示了一个不同的篡改信号,可能会对飞机着陆造成威胁。 攻击者可以发送信号通知飞行员他的飞机在着陆带中心线的左侧,而实际上飞机正好在中心。 飞行员会做出反应,将飞机向右移动,这就是为什么飞机最终会偏向侧面的原因。
波士顿东北大学的研究人员咨询了一名飞行员和安全专家,并谨慎地指出,这种伪造信号在大多数情况下不太可能导致事故。 CSC的故障是对飞行安全的已知威胁,并且经验丰富的飞行员接受了如何应对这些故障的详细培训。 在晴朗的天气中,飞行员很容易注意到飞机与带材的中心线不对齐,因此他可以离开进行第二轮比赛。
合理怀疑的另一个原因是攻击的复杂性。 除可编程无线电台外,还需要定向天线和放大器。 如果黑客想要从飞机上进行攻击,那么所有这些设备将很难被偷运到飞机上。 如果他决定从地面发动攻击,则需要进行大量工作才能使设备与着陆带齐平,而不会引起注意。 此外,机场通常会监视关键频率上的干扰,这可能会导致攻击在开始后不久就停止。
2012年,研究员
Renderman布拉德·海恩斯(Brad Haines)发现了飞机用来确定位置并将数据传输到其他飞机的ADS-B(自动相关监视-广播)系统中的
漏洞 。 他总结了真正伪造KGS信号的困难,如下:
如果一切都融合在一起-位置,隐藏的设备,恶劣的天气,合适的目标,积极进取,精明且有能力的攻击者-会发生什么? 在最坏的情况下,飞机将降落在草地上,有可能造成人身伤亡甚至死亡,但是,飞机的安全发展和快速反应小组提供的大火可能性非常低,而整个飞机都将因此丧生。 在这种情况下,着陆将被暂停,攻击者将无法重复此操作。 在最好的情况下,飞行员会发现差异,弄脏裤子,增加身高,进入第二轮并报告CSC出了点问题-机场将开始调查,这意味着攻击者将不再希望留在附近。
因此,如果一切都收敛,那么结果将是最小的。 将结果与投资之比以及一只带无人机的山羊在希思罗机场周围飞行两天,两天的情况进行比较。 当然,无人机是比这种攻击更为有效和可行的选择。
研究人员说,仍然存在风险,即使在晴朗的天气下,没有落入滑行道的飞机(飞机完美着陆时的假想线)也很难发现。 此外,为了避免延误,一些繁忙的机场甚至要求飞机在能见度差的情况下也不要急于离开第二圈。 美国联邦航空局的着陆
指令以及许多美国机场都遵循着陆
指令 ,该决定应在仅15 m的高度上做出决定。欧洲也有类似的指令。 如果在视觉上周围的条件与CSC的数据不符,他们会离开飞行员很少的时间来安全地中断着陆。
研究人员在
28日通过的题为“对飞机滑行道系统的无线攻击”中写道:“在关键着陆程序期间,如果任何工具发生故障,进行检测和恢复是现代航空业最困难的任务之一。”
USENIX安全研讨会 。 “鉴于飞行员在很大程度上依赖CGS和工具,故障和恶意干扰会导致灾难性的后果,尤其是在自动进近和飞行过程中。”
CGS故障会发生什么
几次触地得分几乎导致了灾难,证明了KGS发生故障的危险。 2011年,一架SQ327新加坡航空公司的航班突然载有143名乘客和15名机组人员,向左倾斜,位于德国慕尼黑机场的降落跑道上方10米处。 降落后,波音777-300向左偏斜,然后向右转,越过中心线,并且当底盘在着陆带右侧的草地上时停下来。
由德国联邦航空器事故调查委员会发布的关于该事件的
报告称,飞机错过了500米的着陆点,调查人员说,事件的肇事者之一是起飞飞机上定向无线电信标信号的失真。 尽管没有人员伤亡的报道,但这一事件突出了CGS系统故障的严重性。 其他涉及CSC失败的事件几乎以悲剧告终,包括2000年的新西兰NZ 60航班和2013年的Ryanair FR3531航班。该视频解释了后者情况出了什么问题。
Vibhab Sharma一直管理着全球硅谷的安全公司,自2006年以来一直在驾驶小型飞机。 他还获得了业余通信操作员的执照,并自愿参加了民用空中巡逻,并在那里接受了救生员和无线电操作员的培训。 他在X-Plane仿真器中控制飞机,演示了信号交换攻击,该攻击导致飞机降落在着陆带的右侧。
沙尔玛告诉我们:
对CGS的这种攻击是现实的,但其有效性将取决于多种因素的组合,包括对攻击空中航行系统的了解以及进近条件。 如果使用得当,攻击者将能够将飞机引向机场周围的障碍物,如果在可见度不佳的条件下进行飞行,飞行员团队将很难发现偏差并加以处理。
他说,这些袭击有可能威胁到小型飞机和大型喷气式飞机,但出于各种原因。 小型飞机以较低的速度移动。 这使飞行员有时间做出反应。 另一方面,大型喷气式飞机的团队中有更多成员可以应对不良事件,而这类船只的飞行员通常要接受更频繁,更彻底的培训。
他说,对于大型飞机和小型飞机,最重要的事情是评估着陆期间的环境条件,特别是天气。
夏尔马说:“当飞行员不得不更多地依靠仪器来成功降落时,这种袭击可能会更加有效。” “这可能是在能见度较差的情况下的夜间降落,或者是恶劣的条件和空域已满的结合,这需要飞行员增加工作量,这使其高度依赖自动化。”
东北大学的研究员Aanjan Ranganatan协助发动了这次袭击,他告诉我们,在CSC发生故障的情况下,几乎没有理由依靠GPS帮助。 一次有效的攻击并替换时,从着陆带的偏离将在10米至15米之间,因为所有这些都将更大,因此飞行员和空中交通管制员将能够注意到。 GPS将能够非常困难地检测到此类偏差。 第二个原因是更换GPS信号非常容易。
Ranganatan说:“我可以用CGS的替代品同时替代GPS。” “整个问题是攻击者的动机程度。”
CGS的前身
CSC的测试始于
1929年 ,并于1932年在德国机场Berlin-Tempelhof部署了第一个工作系统。
KGS仍然是最有效的着陆系统之一。 其他方法(例如,
全方位方位信标 ,驱动信标,全球定位系统和类似的卫星导航系统)被认为是不准确的,因为它们仅提供水平或横向方向。 CGS被认为是一种精确的进近系统,因为它既提供水平方向又提供垂直方向(滑行路径)。 近年来,不准确的系统使用的越来越少。 CGS与自动驾驶仪和自动着陆系统的联系越来越紧密。
CGS的工作方式:航向无线电信标[定位器],滑行坡度[glideslope]和标记信标[标记信标]CGS具有两个关键组成部分。 定向无线电信标通知飞行员飞机是否从着陆跑道的中心线向左或向右移动,滑行路径的斜率表明下降角度是否过大,以使飞机不会错过经过跑道的起点。 第三部分是标记信标。 它们充当里程碑,使飞行员能够确定到地带的距离。 多年来,它们正越来越多地被GPS和其他技术取代。
航线着陆无线电信标使用两组天线,它们发射两个不同的音高-一组以90 Hz,另一组以150 Hz-并以分配给其中一个频段的频率发射。 天线阵列通常位于起飞点之后,位于条带的两侧,因此当着陆飞机位于条带中心线正上方时,声音会抵消。 偏差指示器在中心显示一条垂直线。
如果飞机向右偏斜,则可以听到150 Hz的声音,这就是偏差指示器指针移至中心左侧的原因。 如果飞机偏向左侧,则可以听到90 Hz的声音,并且指针向右移动。 当然,航线着陆无线电信标不能完全取代飞机位置的视觉控制,它提供了关键且非常直观的定向方式。 飞行员只需要将指针保持在中心,以使飞机正好位于中心线上方。
滑行路径的坡度大致相同,只是它显示了飞机相对于着陆带起点的下降角度。 当飞机的角度太小时,会听到90 Hz的声音,并且仪器显示飞机需要降低。 当下降得太厉害时,频率为150 Hz的信号表示需要将飞机抬高。 当飞机保持约3度的规定滑行路径角时,信号会相互抵消。 塔上有两个滑行路径天线,位于特定高度处,该高度由滑行路径的倾斜角度确定,适用于特定的机场。 塔通常位于条带的接触区域附近。
完美无瑕的假货
东北大学的研究人员发动的攻击使用了市售的软件发送器。 这些设备的售价在$ 400- $ 600之间,它们会假装是机场CSC发送的真实信号。 攻击者的发射器既可以位于被攻击飞机上,也可以位于地面上,距机场5公里。 当攻击者的信号超过实际信号的功率时,KGS接收器将感知攻击者的信号,并演示相对于攻击者计划的垂直和水平飞行路径的方向。
如果替换组织不善,飞行员将看到设备读数的突然或不稳定变化,这将导致CSC失败。 为了使假货更加难以识别,攻击者可以使用
AZN-V确定飞机的确切位置,该系统每秒将GPS位置,高度,相对于地面的速度以及其他数据传输到地面站和其他船只。
利用此信息,攻击者可以在接近的飞机相对于着陆带向左或向右移动时开始替换信号,并向他发送信号,表明飞机正在平稳运行。 攻击的最佳时间是飞机刚通过航路点时,如本文开头的演示视频所示。
然后,攻击者可以应用实时信号校正和生成算法,该算法将不断校正恶意信号,以确保相对于正确路径的偏移量将对应于飞机的所有运动。 即使攻击者没有足够的技能来发出完美无瑕的假信号,他也将使CSG产生极大的混乱,以至于飞行员降落时将无法依靠它。
一种信号伪造选项称为“影子攻击”。 攻击者发送经过特殊准备的信号,其功率要大于机场发射机的功率。 为此,攻击者的发射器通常需要发送20瓦功率。 阴影攻击使说服力的信号交换变得更加容易。
暗影攻击信号替换的第二种变体称为“单色攻击”。 它的优点是可以发送功率小于KGS机场的相同频率的声音。 它有几个缺点,例如,攻击者需要准确了解飞机的详细信息-例如,其CGS天线的位置。
扎实的进攻缺乏简单的解决方案
研究人员说,没有办法消除欺骗攻击的威胁。 替代性导航技术(包括全向方位标,驱动信标,全球定位系统和类似的卫星导航系统)是没有身份验证机制的无线信号,因此容易受到欺骗攻击。 而且,关于水平和垂直进场路径的信息只能给出CGS和GPS。
研究人员在工作中写道:
诸如ADS-B , ACARS和TCAS之类的技术所面临的大多数安全问题都可以通过实施加密来解决。 但是,密码学不足以防止本地化攻击。 例如,类似于军事导航技术,GPS信号加密可以在一定程度上防止欺骗攻击。 无论如何,攻击者将能够在必要的时间延迟下重定向GPS信号,并实现位置或时间的替代。 可以从有关防止GPS欺骗攻击和在接收方建立类似系统的现有文献中获得启发。 一种替代方法是基于距离限制和安全进近确认技术的大规模安全定位系统的实现。 , , , .
美国联邦航空管理局表示,他们对研究人员进行的演示没有足够的信息以发表评论。这次攻击和进行的大量研究令人印象深刻,但主要问题没有答案-某人想花力气实现这种攻击的可能性有多大?其他类型的漏洞,例如允许黑客在用户计算机上远程安装恶意程序,或绕过流行的加密系统,很容易被货币化。替换攻击并非如此。对起搏器和其他医疗设备的威胁生命的攻击属于同一类别。尽管更难发现发生此类攻击的动机,但放弃它们的可能性将是一个错误。非营利组织C4ADS在5月发布的一份报告中指出,俄罗斯联邦经常参与GPS系统故障的大规模试验,其结果是船舶导航系统在其65英里或以上的位置错误。实际上,该报告指出,在克里米亚大桥开通期间(不是“经常”,而是仅一次),位于其上的发射机受到了全球导航系统的打击到桥的距离,甚至在距此地65公里(而不是英里)的阿纳帕(Anapa)附近也能感受到他的工作。 “所以一切都是真的”(c)/大约。 佩雷夫 ]。
报告警告说:“俄罗斯联邦在利用和开发欺骗全球导航系统的能力方面具有相对优势。” “但是,低成本,公开销售的可用性以及此类技术的易用性不仅为各州提供了巨大的机会,而且反叛者,恐怖分子和罪犯也为破坏国家和非国家网络的稳定提供了充分的机会。”尽管在2019年CGS的替代似乎是深奥的,但假设随着攻击技术变得更加容易理解以及软件控制的无线电发射器变得越来越普遍,在未来的几年中它将变得更加熟悉,这不太可能是那么神奇。不必为了引起事故而对KGS进行攻击。由于非法无人机导致去年12月,圣诞节前几天和三周后的希思罗机场关闭,伦敦的盖特威克机场关闭,因此可能会破坏机场的运营。Ranganatan说:“金钱是一种动机,而展现力量是另一种动机。” -从防御的角度来看,这些攻击非常关键。必须注意这一点,因为在这个世界上,有足够多的人想展示力量。”