Сигнал, по которому самолёты находят посадочную полосу, можно подделать при помощи рации за $600
Самолёт в демонстрации атаки на радио из-за поддельных сигналов КГС садится правее посадочной полосы
Практически любое воздушное судно, поднимавшееся в воздух в последние 50 лет – будь то одномоторный самолёт «Сессна» или авиалайнер-гигант на 600 посадочных мест – пользовалось помощью радиостанций для безопасного приземления в аэропортах. Эти курсо-глиссадные системы, КГС (англ. ILS, instrument landing system), считаются системами точного сближения, поскольку, в отличие от GPS и других навигационных систем, они обеспечивают жизненно важную информацию в реальном времени по поводу горизонтальной ориентации самолёта по отношению к посадочной полосе и вертикального угла снижения. Во многих условиях – особенно во время приземлений в тумане или под дождём ночью – эта радионавигация остаётся главным способом гарантировать, что самолёт коснётся земли в начале полосы и ровно посередине.
Как многие другие технологии, созданные в прошлом, в КГС не предусматривали защиту от взлома. Радиосигналы не шифруются, и их аутентичность не подтверждается. Пилоты просто предполагают, что получаемые их системами звуковые сигналы на закреплённой за аэропортом частоте – это настоящие сигналы, транслируемые оператором аэропорта. В течение многих лет такой недостаток безопасности практически никого не беспокоил, в основном потому, что стоимость и сложность подделки сигналов делала атаки бессмысленными.
Но теперь исследователи разработали недорогой метод взлома, поднимающий вопросы о безопасности КГС, используемой практически в каждом гражданском аэропорту индустриального мира. Используя радиостанцию за $600 с программным управлением, исследователи могут подделать сигналы аэропорта так, что навигационные инструменты пилота будут показывать, что самолёт сбился с курса. Согласно обучению, пилот должен исправить скорость снижения или ориентацию судна, тем самым создавая угрозу происшествия.
Одна технология атаки состоит в том, что поддельные сигналы говорят о том, что угол снижения меньше, чем есть на самом деле. Подделанное сообщение содержит т.н. сигнал «принять вниз», сообщающий пилоту о необходимости увеличить угол снижения, что возможно, приведёт к тому, что самолёт коснётся земли до начала посадочной полосы.
На видео показан иным образом подделанный сигнал, который может нести угрозу самолёту, заходящему на посадку. Атакующий может отправить сигнал, сообщающий пилоту, что его самолёт находится левее осевой линия посадочной полосы, когда на самом деле самолёт находится точно по центру. Пилот среагирует, уводя самолёт вправо, из-за чего в итоге сместится в сторону.
Исследователи из Северо-восточного университета в Бостоне консультировались с пилотом и экспертом по безопасности, и осторожно отмечают, что подобная подделка сигналов с небольшой вероятностью приведёт к аварии в большинстве случаев. Сбои в работе КГС – известная угроза безопасности перелётов, и опытные пилоты проходят подробное обучение тому, как на них реагировать. Пилоту в ясную погоду будет легко заметить, что самолёт не выровнен по осевой линия полосы, и он сможет уйти на второй круг.
Ещё одна причина для разумного скептицизма – это сложность выполнения атаки. Кроме программируемой радиостанции потребуются направленные антенны и усилитель. Всё это оборудование будет довольно трудно тайком пронести в самолёт, если хакер захочет провести атаку с борта самолёта. Если же он решит атаковать с земли, потребуется очень много работы для того, чтобы выровнять оборудование с посадочной полосой, не привлекая внимания. Более того, аэропорты обычно отслеживают наличие интерференции на особо важных частотах, из-за чего атаку, возможно, остановят вскоре после начала.
В 2012 году исследователь Брэд Хейнс, известный под позывным Renderman, раскрыл уязвимости в системе АЗН-В (автоматическое зависимое наблюдение-вещание), которую самолёты используют для определения их местоположения и передачи данных другим самолётам. Он подытожил трудности реальной подделки КГС-сигналов так:
Если всё сойдётся – местоположение, скрытое оборудование, плохие погодные условия, подходящая цель, хорошо мотивированный, умный и обладающий финансовыми возможностями атакующий – что получится? В самом худшем случае самолёт приземлится на траву, возможны травмы или летальные случаи, однако безопасная разработка самолётов и команды быстрого реагирования обеспечивают очень малую вероятность огромного пожара с потерей всего самолёта. При этом в подобном случае посадка будет приостановлена, и атакующий уже не сможет это повторить. В лучшем случае, пилот заметит несоответствие, испачкает штаны, увеличит высоту, зайдёт на второй круг, и сообщит, что с КГС что-то не так – аэропорт начнёт расследование, что означает, что атакующий уже не захочет оставаться поблизости.
Так что, если всё сойдётся, то итог будет минимальным. Сравните это с соотношением результата к вложениям и экономический эффект от того случая, когда один козёл с дроном за $1000 два дня летал вокруг аэропорта Хитроу. Уж точно дрон был более эффективным и рабочим вариантом, чем такая атака.
И всё же, исследователи говорят, что риски существуют Самолёты, не попадающие при посадке в глиссаду – воображаемую линию, которой самолёт следует при идеальной посадке – гораздо труднее обнаружить даже в хорошую погоду. Более того, некоторые загруженные аэропорты во избежание задержек указывают самолётам не спешить с уходом на второй круг даже в условиях плохой видимости. Инструкции по посадке от Федерального управления гражданской авиации США, которым следуют многие аэропорты США, указывают, что такое решение следует принимать на высоте всего в 15 м. Подобные инструкции действуют и в Европе. Они оставляют пилоту очень мало времени на то, чтобы безопасно прервать посадку, если визуально окружающие условия не совпадут с данными от КГС.
«Обнаружение и восстановление в случае отказа любых инструментов во время критически важных посадочных процедур – одна из самых сложных задач современной авиации», — писали исследователи в своей работе под названием «Беспроводные атаки на курсо-глиссадные системы воздушных судов», принятой на 28-м симпозиуме по безопасности USENIX. «Учитывая то, насколько сильно пилоты полагаются на КГС и в целом на инструменты, отказ и злонамеренное вмешательство могут привести к катастрофическим последствиям, особенно в процессе автономных подлётов и полётов».
Что происходит с отказами КГС
Несколько приземлений, чуть не приведших к катастрофе, демонстрируют опасность отказов КГС. В 2011 году полёт SQ327 сингапурских авиалиний со 143-мя пассажирами и 15-ю членами команды на борту неожиданно накренился влево, находясь в 10 метрах над посадочной полосой в аэропорту Мюнхена в Германии. После посадки Боинг 777-300 отклонился влево, потом повернул направо, пересёк осевую линию, и остановился, когда шасси находилось в траве справа от посадочной полосы.
В отчёте об инциденте, опубликованный немецкой федеральной комиссией по расследованию происшествий с воздушными судами, написано, что самолёт промахнулся мимо точки посадки на 500 м. Следователи сказали, что одним из виновников инцидента стало искажение сигналов курсового посадочного радиомаяка взлетающим самолётом. Хотя о пострадавших не сообщалось, это событие подчеркнуло серьёзность отказа систем КГС. Среди других инцидентов с отказом КГС, чуть не окончившихся трагически, числится новозеландский рейс NZ 60 в 2000-м и полёт компании Ryanair FR3531 в 2013. На видео объясняется, что пошло не так в последнем случае.
Вайбхаб Шарма заведует делами компании из Кремниевой долины, занимающейся безопасностью, по всему миру, и летает на небольших самолётах с 2006 года. У него также есть лицензия оператора любительской связи, и он участвует на общественных началах в гражданском воздушном патруле, где прошёл обучение на спасателя и оператора радио. Он управляет самолётом в симуляторе X-Plane, демонстрируя атаку с подменой сигналов, заставляющую самолёт приземляться справа от посадочной полосы.
Шарма рассказал нам:
Такая атака на КГС реалистична, но её эффективность будет зависеть от комбинации факторов, включая знание атакующего систем воздушной навигации и условий на подлёте. Если использовать её соответствующим образом, атакующий сможет увести воздушное судно в сторону препятствий, окружающих аэропорт, и если сделать это в условиях плохой видимости, команде пилотов будет очень сложно обнаружить отклонения и справиться с ними.
Он сказал, что у атак есть потенциал угрожать как небольшим самолётам так и большим реактивным воздушным судам, однако по разным причинам. Небольшие самолёты движутся с меньшими скоростями. Это даёт пилотам время на реагирование. У крупных реактивных самолётов, с другой стороны, в команде больше членов, способных отреагировать на неблагоприятные события, при этом пилоты таких судов обычно обучаются чаще и тщательнее.
Он сказал, что важнее всего для крупных и малых самолётов будет оценить окружающие условия, в частности, погоду, во время посадки.
«Подобная атака, вероятно, будет более эффективной, когда пилотам придётся в большей степени полагаться на приборы для выполнения успешной посадки, — сказал Шарма. – Это могут быть ночные приземления в условиях плохой видимости, или комбинация плохих условий с загруженным воздушным пространством, требующая от пилотов большей загруженности, из-за чего они сильно зависят от автоматизации».
Аанджан Ранганатан, исследователь из Северо-восточного университета, помогавший в разработке атаки, рассказал нам, что на помощь GPS при отказе КГС рассчитывать почти не приходится. Отклонения от посадочной полосы при эффективной атаке с подменой составят от 10 до 15 метров, поскольку всё, что будет больше, пилоты и авиадиспетчеры смогут заметить. GPS с большим трудом сможет обнаружить подобные отклонения. Вторая причина – подменить сигналы GPS очень легко.
«Я могу подменить GPS параллельно с подменой КГС, — сказал Ранганатан. – Весь вопрос в степени мотивации атакующего».
Предшественник КГС
Испытания КГС начались ещё в 1929 году, и первую рабочую систему развернули в 1932-м в немецком аэропорту Берлин-Темпельхоф.
КГС остаётся одной из самых эффективных посадочных систем. Иные подходы, к примеру, всенаправленный азимутальный радиомаяк, приводной радиомаяк, глобальная система позиционирования и подобные спутниковые системы навигации считаются неточными, поскольку дают только горизонтальную или поперечную ориентацию. КГС же считается точной системой сближения, поскольку даёт как горизонтальную, так и вертикальную (глиссада) ориентацию. В последние годы неточные системы использовались всё реже. КГС всё чаще связывали с автопилотами и автопосадочными системами.
Как работает КГС: курсовой посадочный радиомаяк [localizer], наклон глиссады [glideslope] и маркерные радиомаяки [marker beacon]
У КГС есть два ключевых компонента. Курсовой посадочный радиомаяк сообщает пилоту, смещён ли самолёт влево или вправо от осевой линии посадочной полосы, а наклон глиссады говорит, не слишком ли велик угол спуска для того, чтобы самолёт не промахнулся мимо начала полосы. Третий компонент – маркерные радиомаяки. Они работают как вехи, позволяющие пилоту определить расстояние до полосы. С годами их всё чаще заменяют GPS и другими технологиями.
Курсовой посадочный радиомаяк использует два набора антенн, излучающих два разных по высоте звука – один на 90 Гц, и другой на 150 Гц – причём на частоте, назначенной одной из посадочных полос. Антенные решётки расположены с обеих сторон полосы, обычно после точки взлёта, и так, чтобы звуки взаимно уничтожались, когда садящийся самолёт расположен прямо над осевой линией полосы. Индикатор отклонения показывает вертикальную линию в центре.
Если самолёт отклоняется вправо, звук на 150 Гц становится всё слышнее, из-за чего указатель индикатора отклонения двигается влево от центра. Если самолёт отклоняется левее, слышнее становится звук на 90 Гц, и указатель двигается вправо. Курсовой посадочный радиомаяк, конечно, не может полностью заменить визуальный контроль положения самолёта, он даёт ключевое и очень интуитивное средство ориентации. Пилотам нужно просто удерживать указатель в центре, чтобы самолёт находился точно над осевой линией.
Наклон глиссады работает примерно также, только он показывает угол снижения самолёта относительно начала посадочной полосы. Когда угол самолёта слишком мал, слышнее становится звук на 90 Гц, и инструменты показывают, что самолёту надо снижаться. Когда спуск слишком резкий, сигнал на 150 Гц говорит о том, что самолёту надо взять выше. Когда самолёт остаётся на предписанном угле наклона глиссады примерно в три градуса, сигналы взаимно уничтожаются. Две глиссадные антенны расположены на вышке на определённой высоте, определяемой углом наклона глиссады, подходящим для конкретного аэропорта. Вышка обычно расположена недалеко от зоны касания полосы.
Безупречная подделка
Атака исследователей из Северо-восточного университета использует имеющиеся в продаже программные радиопередатчики. Эти устройства, продающиеся по $400-$600, передают сигналы, притворяющиеся настоящими сигналами, отправленными КГС аэропорта. Передатчик злоумышленника может находиться как на борту атакуемого самолёта, так и на земле, на расстоянии до 5 км от аэропорта. Пока сигнал злоумышленников превосходит по мощности настоящий сигнал, приёмник КГС будет воспринимать сигнал атакующего, и демонстрировать ориентацию относительно вертикальной и горизонтальной траектории полёта, запланированную злоумышленником.
Если подмена организована плохо, пилоту станут видны внезапные или беспорядочные изменения показаний приборов, которые он примет за неисправность КГС. Чтобы подделку было труднее распознать, атакующий может уточнить точное расположение самолёта используя АЗН-В, систему, ежесекундно передающую местонахождение самолёта по GPS, высоту, скорость относительно земли, и другие данные на наземные станции и другие суда.
Используя эту информацию, атакующий может начать подмену сигнала, когда приближающийся самолёт сместился влево или вправо относительно посадочной полосы, и отправить ему сигнал о том, что самолёт идёт ровно. Оптимальным временем для атаки будет момент, когда самолёт только что прошёл мимо путевой точки, как показано на демонстрационном видео в начале статьи.
Затем атакующий может применить алгоритм коррекции и генерации сигнала в реальном времени, который будет постоянно подправлять злонамеренный сигнал, чтобы гарантировать, что смещение относительно правильного пути будет соответствовать всем перемещениям самолёта. Даже если атакующему не хватит навыков для того, чтобы сделать безупречный поддельный сигнал, он сможет так запутать КГС, что пилот не сможет на неё полагаться при приземлении.
Один вариант подделки сигнала известен, как «затеняющая атака». Атакующий отправляет специально подготовленные сигналы с мощностью большей, чем сигналы передатчика аэропорта. Передатчику злоумышленника для этого обычно потребуется отправлять сигналы мощностью в 20 Вт. Затеняющие атаки облегчают проведение убедительной подмены сигнала.
Затеняющая атака
Второй вариант подмены сигнала известен, как «однотонная атака». Его преимущес тво в том, что можно отправлять звук одной частоты с мощностью меньшей, чем у КГС аэропорта. У него есть несколько недостатков, например, атакующему необходимо точно знать специфику самолёта – к примеру, расположение его КГС-антенн.
Однотонная атака
Отсутствие лёгких решений
Исследователи говорят, что пока нет способов устранить угрозу атак с подменой. Альтернативные технологии навигации – включая всенаправленный азимутальный радиомаяк, приводной радиомаяк, глобальную систему позиционирования и подобные спутниковые системы навигации – представляют собой беспроводные сигналы, не имеющие механизма аутентификации, и, следовательно, подвержены атакам подмены. Более того, информацию по горизонтальной и вертикальной траектории подлёта способны дать только КГС и GPS.
В своей работе исследователи пишут:
Большинство проблем с безопасностью, с которой сталкиваются такие технологии, как АЗН-В, ACARS и TCAS, можно исправить, внедряя криптографию. Однако криптографии будет недостаточно для предотвращения атак с локализацией. К примеру, шифровка сигнала GPS, схожая с военной технологией навигации, может предотвратить атаки с подменой до определённой степени. Всё равно злоумышленник сможет перенаправлять GPS-сигналы с нужными ему задержками по времени, и добиться подмены местоположения или времени. Вдохновение можно черпать из существующей литературы по предотвращению атак с подменой GPS и создавать похожие системы на стороне приёмника. Альтернативой может стать реализация широкомасштабной безопасной системы локализации, основывающейся на ограничении расстояния и безопасных техниках подтверждения сближения. Однако для этого потребуется обеспечить двустороннюю связь, и этот вариант требует дальнейшего изучения, касающегося его масштабируемости, возможности реализации и проч.
В федеральном управлении гражданской авиации США сообщили, что у них нет достаточной информации по поводу проведённой исследователями демонстрации, чтобы давать комментарии.
Эта атака и значительный объём проведённого исследования впечатляют, но на главный вопрос в работе нет ответа – насколько вероятно, что кто-нибудь захочет затратить усилия на реализацию подобной атаки на самом деле? Другие типы уязвимостей, к примеру, позволяющих хакерам удалённо устанавливать вредоносные программы на компьютерах пользователей, или обходить популярные системы шифрования, легко монетизировать. С атакой с подменой КГС это не так. В эту же категорию попадают опасные для жизни атаки на кардиостимуляторы и другие медицинские устройства.
И хотя мотивацию для подобных атак увидеть тяжелее, было бы ошибкой отметать их возможность. В отчёте, опубликованном в мае C4ADS, некоммерческой организацией, освещающей проблемы глобальных конфликтов и межгосударственной безопасности, указано, что Российская федерация часто занималась широкомасштабными испытаниями нарушений работы системы GPS, в результате которых навигационные системы кораблей ошибались в своём местоположении на 65 миль и более [на самом деле в отчёте говорится о том, что во время открытия Крымского моста (то есть, не «часто», а всего один раз) глобальную систему навигации сбивал передатчик, расположенный на этом мосту, и его работа ощущалась даже близ Анапы, расположенной в 65 км (а не милях) от этого места. «А так всё верно» (с) / прим. перев.].
«У Российской федерации есть относительное преимущество в использовании и разработке возможностей обмана систем глобальной навигации», — предупреждает отчёт. «Однако малая стоимость, доступность в открытой продаже, и простота использования подобных технологий, даёт не только государствам, но и мятежникам, террористам и преступникам широкие возможности по дестабилизации государственных и негосударственных сетей».
И хотя подмена КГС кажется эзотерикой в 2019-м, вряд ли будет таким уж фантастическим предположение о том, что в грядущие годы она станет более привычным делом, по мере того, как технологии атак будут становиться понятнее, а программно управляемые радиопередатчики – распространённее. Атаки на КГС не обязательно проводить для того, чтобы вызывать аварии. Их можно проводить для нарушения работы аэропортов, так, как незаконные дроны привели к закрытию аэропорта Гатвик в Лондоне в прошлом декабре, за несколько дней до рождества, а три недели спустя — аэропорта Хитроу.
«Деньги – это одна мотивация, а демонстрация силы – другая, — сказал Ранганатан. – С точки зрения защиты эти атаки весьма критичны. Об этом нужно позаботиться, поскольку в этом мире найдётся достаточно людей, которые захотят продемонстрировать силу».
Автор: Вячеслав Голованов