Pytanie:
W jaki sposób ADS-B może być bezpieczny, skoro jest oparty na raportowaniu własnym?
digitgopher
2015-03-25 10:27:15 UTC
view on stackexchange narkive permalink

Według wszystkich doniesień ADS-B to przyszłość nawigacji lotniczej i ATC. Najprościej mówiąc, ADS-B to samo zgłoszenie pozycji GPS przez statek powietrzny, z korzyścią dla wszystkich.

Jak to jest bezpieczne? Wygląda na to, że ktoś mógłby po prostu nadać fałszywą pozycję w wielu nikczemnych celach.

Może brakuje mi czegoś oczywistego, ale nie widziałem jeszcze wyjaśnienia ADS-B z punktu widzenia bezpieczeństwa.

Related: https://security.stackexchange.com/q/34313
Related: http://tech.slashdot.org/story/12/08/22/2059207/faa-denies-vulnerabilities-in-new-air-traffic-control-system
Jesteś na miejscu! Oglądałem kilka tygodni wykładu Defcon na ten temat, może Cię to zainteresuje! https://www.youtube.com/watch?v=CXv1j3GbgLk
W jaki sposób którykolwiek z tych nikczemnych celów zostałby lepiej umożliwiony przez wysyłanie fałszywych raportów o pozycji, niż przez wysyłanie ich wcale?
Zgadza się, brak wysłania raportu o pozycji w ogóle byłby fałszywym stanowiskiem.
@digitgopher W jakim przypadku różni się od obecnego systemu, w którym nikt nie wysyła raportów pozycji?
co masz na myśli mówiąc „bezpieczny”? upewnij się, że jest to urządzenie, które wysyła pozycje (z pewną procedurą uwierzytelniania), upewnij się, że urządzenie zachowuje się tak, jak powinno (z pewnymi nadmiarowymi kontrolami, które można łatwo zastąpić, takimi jak czas transmisji)? Wygląda na to, że wykluczasz odmowę usługi (tj. Urządzenie, które nie działa, bez względu na przyczyny)
Został zaprojektowany z myślą o bezpieczeństwie, a nie ochronie.
Kompleksowe badanie bezpieczeństwa ADS-B zostało przeprowadzone przez Strohmeier i in., Http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6940209&url=http%3A%2F%2Fieeexplore.ieee. org% 2Fstamp% 2Fstamp.jsp% 3Ftp% 3D% 26arnumber% 3D6940209
Poruszaj się wśród obywateli, nie ma tu nic do oglądania.
Pięć odpowiedzi:
hmakholm left over Monica
2015-03-25 23:09:28 UTC
view on stackexchange narkive permalink

Tak, można celowo wysyłać raporty o błędnych pozycjach. Ale dlaczego ktoś miałby to robić? Zakładamy oczywiście złośliwe zamiary - ale mimo to?

Czy osoba atakująca może spowodować kolizję , używając fałszywych transmisji pozycji? Trudno zrozumieć, jak. Podstawowym znaczeniem transmisji ADS-B jest w zasadzie: „Drogi ATC, proszę nie zezwalaj nikomu na latanie zbyt blisko takiego a takiego punktu w kosmosie, ponieważ tam właśnie jestem”. niczego nie podejrzewający inny statek powietrzny, aby ominąć określony punkt w przestrzeni, gdzie w rzeczywistości nikogo nie ma, sam w sobie nie spowoduje żadnego wypadku. Co najwyżej rozpraszanie uwagi i przekleństwa oraz „nie, proszę pana, naprawdę nie widzę transmisji tego ruchu”.

Atakujący może przeprowadzić atak typu odmowa usługi na przestrzeń powietrzną przez zalanie monitor kontrolera ruchu lotniczego z atrapą samolotu, więc nie może znaleźć żadnego bezpiecznego sposobu na wyznaczenie trasy prawdziwych samolotów, z którymi rozmawia. Jednak w tym celu nie jest konieczne wysyłanie fałszywych raportów o pozycji - po prostu zagłuszanie częstotliwości łącza w dół 1090 MHz byłoby równie dobre i nie byłoby znacznie bardziej nielegalne lub trudniejsze do wykrycia.

Możesz spróbować aby przekonać ATC, że ktoś inny jest w innym miejscu niż w rzeczywistości. Jednakże, o ile nie zablokujesz całej częstotliwości, ATC nadal będzie w stanie usłyszeć ich prawdziwe raporty o pozycji, a ich komputery byłyby w stanie stwierdzić, że mają kilka niespójnych raportów z tego samego adresu płatowca. Byłoby łatwo sobie z tym poradzić, oddzielając ruch od obu zgłoszonych pozycji (co i tak muszą mieć możliwość, na wypadek gdyby ktoś przypadkowo błędnie skonfigurował transponder z niewłaściwym adresem), a potem wracamy do scenariusza DoS.

Czy samobójczy napastnik mógłby wzlecieć w górę własnym samolotem i wbić się w kogoś innego , udając swoją pozycję tak daleko, jak to widzi ATC? Jeśli taki jest twój cel, z pewnością pomocne byłoby zaprzestanie nadawania swojej prawdziwej pozycji , ale to nie znaczy, że nadanie fałszywej pozycji kupiłoby ci wszystko, czego nie zrobisz Możesz też po prostu wyciągnąć wtyczkę z transpondera, aby nie nadawać niczego . W obu przypadkach twoim problemem byłoby to, że jesteś teraz głównym echem radarowym, które nie odpowiada żadnej odpowiedzi transpondera. W zależności od tego, gdzie zrobisz sztuczkę, która może, ale nie musi, ustawić dzwonek alarmowy - ale w stopniu, w jakim to robi, nadawanie innej pozycji nie zrobi nic, aby ich uciszyć.

Jedyną rzeczą, którą możesz zrobić, jest ustawienie ADS-B Out tak, aby transmitowało niewłaściwą wysokość i mieć nadzieję na uzyskanie zezwolenia na przejście bezpośrednio nad lub pod kimś, kogo możesz wtedy spróbować taranować bez bycia widocznym - ponieważ radar główny generalnie źle radzi sobie z rozróżnianiem wysokości. Nie jest to jednak ryzyko specyficzne dla ADS-B - stary dobry SSR także zależy od transponderów pokładowych, które zgłaszają swoją wysokość w trybie C, co można równie łatwo zmienić.

While perhaps an interesting intellectual exercise, these arguments are quite beside the point. The question isn't *why would someone...*, the question concerns the ramifications on the ability to secure the airspace system.
@digitgopher Przed czym zabezpieczyć? Tak naprawdę nie można przeprowadzić rzetelnej dyskusji na temat konsekwencji dla bezpieczeństwa czegoś bez uprzedniego zrozumienia, przed czym próbujesz się bronić.
Ponadto, AFAICT ADS-B jest tylko wypychany jako zamiennik radaru wtórnego, więc nic nie można zrobić z fałszywym raportem, którego nie można zrobić, wyłączając już transponder.
Przepraszam za szybką ocenę; Teraz widzę, skąd pochodzi Henning. Na początku kilka pierwszych akapitów widziałem jako [czerwony śledź] (http://en.wikipedia.org/wiki/Red_herring). Myślę, że kluczem jest tutaj to, że ADS-B nie zastępuje radaru głównego i innych środków bezpieczeństwa. +1 dla tego posta.
GdD
2015-03-25 14:41:44 UTC
view on stackexchange narkive permalink

Nie brakuje niczego oczywistego, fałszowanie ADS-B (wysyłanie sfałszowanych wiadomości) i fałszowanie (umieszczanie nieprawidłowych informacji w wiadomości) jest możliwe, ponieważ nie ma wbudowanego uwierzytelniania wiadomości. Stacja odbierająca nie ma możliwości sprawdzenia, czy wiadomości są fałszywe. Jest kilka propozycji rozwiązań tutaj i tutaj, o ile mi wiadomo, nie podjęto decyzji o zmianie standardu protokołu.

Pamiętaj, że nawet jeśli dodasz uwierzytelnianie wiadomości do protokołu, nadal będzie można wysyłać fałszywe wiadomości. ADS-B korzysta z GPS, nie ma powodu, abyś nie mógł sfałszować danych GPS wysyłanych do jednostki nadawczej. Urządzenie nie miałoby możliwości dowiedzenia się, że dane GPS nie są autentyczne i wysyłałoby informacje o pozycji, myśląc, że są autentyczne. Dlatego nawet przy uwierzytelnianiu i zabezpieczeniach protokołu rozgłoszeniowego nadal nie można w sposób dorozumiany ufać przesyłanym informacjom, ponieważ potencjalni napastnicy mają dostęp do rzeczywistego sprzętu i systemów transmisyjnych. Oznacza to, że aby zaufać informacjom, musisz zweryfikować je przy użyciu innego źródła.

FAA była w tej sprawie zamknięta, mówią, że omówili sytuację, ale nie powiedzą, jak. Być może uważają, że dalsze korzystanie z radaru na obszarach zabudowanych i zabezpieczonych (nie ma planów całkowitego porzucenia radaru na korzyść ADS-B) pozwoli komputerom ATC odfiltrować podróbki. Radar jest skomputeryzowany, niektóre inteligentne algorytmy byłyby w stanie dopasować dane radarowe do transmisji ADS-B i ostrzegać, gdy dane ADS-B się nie zgadzają. Samolot próbujący wlecieć do strefy Waszyngtonu nie byłby w stanie użyć spoofingu, aby na przykład zbliżyć się do wrażliwego celu.

Oznaczałoby to, że obszarami, w których spoofing ma większe szanse powodzenia, byłyby obszary, w których nie ma zasięgu radarowego. Tak, ktoś mógłby zamaskować prawdziwą lokalizację swojego samolotu lub sfałszować samolot w tych lokalizacjach, jednak korzyści z systemu wydają się przewyższać potencjalne ryzyko.

TL; DR: „Nie jest. FAA wolałaby, żebyś o tym nie myślał”.
Jednak ile miejsc w zaludnionych krajach faktycznie _nie_ ma zasięgu radarowego? Spodziewałbym się tego na bardzo niskich wysokościach lub za górami, ale nie spodziewałbym się, że będzie to strasznie powszechna sytuacja. Nawet lecąc na wysokości 4500 stóp nad obszarami wiejskimi, widzę, że mój transponder jest przeszukiwany przez co najmniej 4 lub 5 różnych radarów.
Jest powód, dla którego ADS-B był testowany na Alasce.
@GdD W porządku.
* Oni * obejmują sytuację. Podszywanie się - lub zagłuszanie - ADS-B wymaga nadajnika radiowego o znacznej mocy, który można wyśledzić, a ktokolwiek go zainstalował, mógł zostać zauważony lub zostawić odciski palców lub ślady DNA itp. Możesz więc go sfałszować lub zablokować, ale policja to zrobi przyjść po ciebie i wsadzić cię do więzienia (ponieważ ingerencja w system krytyczny dla bezpieczeństwa * jest * nielegalna) i po prostu niewiele można zyskać w porównaniu z ryzykiem.
Jeśli zależy ci na więzieniu, będzie to odstraszające, a większość ludzi stosuje @janhudec. Niektórzy jednak tego nie robią
@GdD, no cóż, ludzie, którzy tak naprawdę nie mogą tak wiele zyskać, zakłócając to.
abelenky
2015-03-25 22:20:45 UTC
view on stackexchange narkive permalink

(nie do końca odpowiedź, wiem ... trochę więcej do dyskusji)

OK, ADS-B jest podatne na spoofing. Co można z tym zrobić?

Chociaż FAA nie przedstawiła dokładnie swoich planów, w przeszłości widziałem artykuły sugerujące, że mogą dopasować raport ADS-B, stacja odbiorcza oraz powrót radaru dla pewnego poziomu dyskryminacji. Wykonując pojedynek, odbiorca naziemny w Montanie automatycznie zignorowałby wszelkie informacje o lokalizacji, które twierdzą, że znajdują się na Florydzie. Samolot w Montanie mógłby sfałszować swoją dokładną lokalizację o kilkadziesiąt mil, ale nie mógł leżeć na tyle, by znajdować się w zupełnie innym ARTCC.

Ponieważ jest to format cyfrowy, jednym z pomysłów jest sprawienie, aby nadajniki miały certyfikaty cyfrowe, dlatego muszą podpisać każdą transmisję swoim certyfikatem. Domyślnie wszyscy odbiorcy widzą wszystkie wiadomości, a spoofer nadal może wstawiać fałszywe wiadomości. Jednakże, gdy nadajnik zostanie zidentyfikowany jako wysyłający fałszywe wiadomości, ustawienie filtru „Ignoruj ​​wszystkie komunikaty z Tx 1357” byłoby trywialne. Problem zbliża się do początkowego uznania, że ​​nadajnik leży w pierwszej kolejności. Po zignorowaniu fałszywych wiadomości pojawia się główne pytanie: „Więc ... ten samolot nie jest tym, za kogo się podaje. Gdzie on jest?”

W w skrócie: istnieją kroki łagodzące, ale nic nie może automatycznie i całkowicie zabezpieczyć systemu, gdy każdy może być nadajnikiem.

Jak sprawić, by radar myślał, że znajdujesz się kilkadziesiąt mil od rzeczywistej lokalizacji? Możesz łatwo sfałszować swoją wysokość do instalacji Mode C, ale twoja (szer., Długa) lokalizacja wydaje się być dość trudna do sfałszowania o więcej niż może kilkaset stóp.
@Reirab: O to chodzi. Możesz kłamać z ADS-B i powiedzieć, że znajdujesz się w jednym miejscu, ale jeśli Radar powie, że Cię tam nie ma, Twoja wiadomość ADS-B może zostać odrzucona i oznaczona jako fałszywa. Jednak główny radar ma znaczny błąd w raportowaniu ze względu na pochylenie i inne czynniki.
BigNutz
2017-03-25 08:44:05 UTC
view on stackexchange narkive permalink

Zatem każdy, kto kwestionuje poziom chaosu i ryzyko związane z jakimś „podszywaniem się” statku powietrznego do aktywnego systemu ruchu lotniczego wykorzystującego ADS-B jako część lub całość do nadzoru przestrzeni powietrznej ATC, musi ponownie przemyśleć tę kwestię. Bez wchodzenia w chwasty, wystarczy spojrzeć na obszar NYC klasy B na FR24, aby łatwo zobaczyć jedną z najbardziej złożonych i zatłoczonych działek przestrzeni powietrznej na świecie. Jeśli nawet jeden samolot-widmo zostanie potajemnie włożony do tego systemu w niewłaściwym miejscu w niewłaściwym czasie, wynik może być katastrofalny.

Podczas gdy FAA i społeczność międzynarodowa naiwnie zdecydowały się stworzyć system bez szyfrowania lub zintegrowana weryfikacja integralności sygnału, przyznali, że jest to luka w zabezpieczeniach i opracowali opcje. Najbardziej prawdopodobne i rozpowszechnione jest wykorzystanie zintegrowanej, równoległej i trwałej multilateracji sygnału w czasie rzeczywistym (MLAT) do weryfikacji pozycji statku powietrznego. Największą zaletą MLAT jest triangulacja z wykorzystaniem funkcji Time Distance of Arrival (TDOA). Zasadniczo, jeśli wystarczająca liczba odbiorników jest w stanie określić odległość statku powietrznego na podstawie czasu potrzebnego na dotarcie sygnału transpondera z samolotu do odbiornika, mogą one określić położenie.

Niezwykle trudno byłoby stworzyć zestaw sygnałów o złożoności potrzebnej do naśladowania rzeczywistego statku powietrznego i umieszczenia samolotu „widmo” pod nadzorem ATS. Jeśli weźmiesz pod uwagę, że do przeprowadzenia MLAT wystarczy tylko 4 odbiorniki, certyfikowane systemy nadzoru ATS ADS-B są znacznie bardziej niezawodne i precyzyjne.

Więc tak. Mógłby, powinien, zaszyfrowałby system, ale nie wszystko jest stracone.

oPless
2018-05-20 16:23:07 UTC
view on stackexchange narkive permalink

Aby dodać do posta @ BigNutz.

Multilateracja to dość bezpieczny sposób upewnienia się, że transmisja jest dokładna.

TDOA (różnica czasu przybycia) wymagałoby co najmniej czterech zsynchronizowanych odbiorników i jest dokładnym przeciwieństwem działania GPS (określasz swoją lokalizację, znając odległość co najmniej czterech satelitów).

Więcej jest oczywiście lepsze, ale możesz uwierzytelnić, że ktoś nadaje na podstawie tych współrzędnych 3D. Nie pozwala jednak na uwierzytelnienie tego, kto transmituje ADS-B.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...