¿Cómo puede ADS-B ser seguro cuando se basa en autoinformes?

Según todos los informes, ADS-B es el futuro de la navegación aérea y ATC. En la definición más simple, ADS-B es la posición GPS de autoinforme de la aeronave para beneficiar a todos.

¿Cómo es esto seguro? Parece que alguien podría simplemente transmitir una posición falsa para cualquier número de propósitos nefastos.

Tal vez me estoy perdiendo algo obvio, pero todavía tengo que ver una explicación de ADS-B desde una perspectiva de seguridad.

¡Estás en el clavo! Vi un video de una charla de Defcon hace unas semanas sobre este mismo tema, ¡puede que le resulte interesante! youtube.com/watch?v=CXv1j3GbgLk
¿Cómo se habilitaría mejor cualquiera de esos propósitos nefastos enviando informes de posición falsos que no enviando ningún informe de posición?
Correcto, no enviar un informe de posición en absoluto sería una posición falsa.
@digitgopher En cuyo caso, ¿qué es diferente del sistema actual, donde nadie envía informes de posición?
a que te refieres con seguro? asegúrese de que este sea el dispositivo que envía posiciones (con algún procedimiento de autenticación), asegúrese de que el dispositivo se comporte como debería (con algunas comprobaciones redundantes que pueden anularse fácilmente, como el tiempo de transmisión)? Parece que excluye la denegación de servicio (es decir, un dispositivo que no está operativo, independientemente de las causas)
Fue diseñado pensando en la seguridad, no en la seguridad.
Strohmeier et al han realizado un estudio exhaustivo de la seguridad de ADS-B, ieeexplore.ieee.org/xpl/…
Muévanse ciudadanos, nada que ver aquí.

Respuestas (5)

Sí, se pueden enviar informes de posición deliberadamente erróneos. Pero, ¿por qué alguien querría hacer eso? Estamos asumiendo una intención maliciosa, por supuesto, ¿pero aun así?

¿Podría un atacante causar una colisión usando transmisiones de posición falsas? Es difícil ver cómo. El significado central de una transmisión ADS-B es básicamente: "Estimado ATC, por favor no autorice a nadie a volar demasiado cerca de tal o cual punto en el espacio, porque ahí es donde estoy". Hacer que otro avión desprevenido evite un punto particular en el espacio donde en realidad no hay nadie, no causará en sí mismo ningún accidente. A lo sumo alguna distracción y juramentos y transmisiones de "no señor, realmente no veo ese tráfico".

Un atacante podría montar un ataque de denegación de servicio contra el espacio aéreo inundando el monitor de un controlador de tráfico aéreo con aviones ficticios, por lo que no puede encontrar ninguna forma segura de enrutar los aviones reales con los que está hablando. Pero para ese efecto, no es realmente necesario enviar ningún informe de posición falso; simplemente bloquear la frecuencia de enlace descendente de 1090 MHz funcionaría igual de bien, y no sería significativamente más ilegal o más difícil de detectar.

Podría intentar convencer a ATC de que otra persona está en un lugar diferente al que realmente está. Sin embargo, a menos que bloquee toda la frecuencia, ATC aún podría escuchar sus informes de posición real , y sus computadoras podrían decir que tienen varios informes inconsistentes de la misma dirección de fuselaje. Sería sencillo manejar eso separando el tráfico de ambas posiciones informadas (lo que deben poder hacer de todos modos, en caso de que alguien desconfigure accidentalmente su transpondedor con una dirección incorrecta), y luego estamos de vuelta en el escenario DoS.

¿Podría un atacante suicida subirse a su propio avión y chocar contra alguien más mientras finge su posición hasta donde lo ve ATC? Si ese es su objetivo, ciertamente parecería útil dejar de transmitir su verdadera posición , pero eso no significa que transmitir una posición falsa le compraría algo que no obtiene simplemente desconectando su transpondedor para que no lo haga. No transmitir nada . En ambos casos, su problema sería que ahora es un eco de radar primario que no corresponde a ninguna respuesta del transpondedor. Dependiendo de dónde haga el truco, eso puede o no hacer sonar las alarmas, pero en la medida en que lo haga, transmitir un mensaje diferente .posición no haría nada para silenciarlos.

Una cosa que puede hacer es configurar su ADS-B Out para transmitir una altitud incorrecta y esperar obtener autorización para pasar directamente por encima o por debajo de alguien que luego podría intentar embestir sin ser visto, porque el radar principal generalmente es malo para distinguir altitudes. . Sin embargo, ese no es un riesgo específico de ADS-B: el viejo SSR también depende de los transpondedores aerotransportados para autoinformar su altitud en el Modo C, y eso se puede manipular con la misma facilidad.

Aunque tal vez sea un ejercicio intelectual interesante, estos argumentos no vienen al caso. La pregunta no es por qué alguien... , la pregunta se refiere a las ramificaciones en la capacidad de asegurar el sistema del espacio aéreo.
@digitgopher ¿Asegurarlo contra qué? Realmente no se puede tener una discusión válida sobre las ramificaciones de seguridad de algo sin comprender primero de qué está tratando de defenderse.
Además, AFAICT ADS-B solo se promociona como reemplazo del radar secundario, por lo que no se puede hacer mucho con un informe falso que no se pueda hacer apagando el transpondedor.
Me disculpo por mi juicio rápido; Ahora veo de dónde viene Henning. Al principio vi los primeros párrafos como una pista falsa . Creo que la clave aquí es que ADS-B no es un sustituto del radar primario y otras medidas de seguridad. +1 para esta publicación.

No se está perdiendo nada obvio, la falsificación de ADS-B (el envío de mensajes falsos) y la manipulación (colocar información incorrecta en un mensaje) es posible ya que no hay autenticación de mensajes integrada en el protocolo. La estación receptora no tiene forma de verificar si los mensajes son falsos. Hay algunas soluciones propuestas aquí y aquí , que yo sepa, no ha habido ninguna decisión de cambiar el protocolo estándar.

Tenga en cuenta que incluso si agrega la autenticación de mensajes al protocolo, todavía habrá formas de enviar mensajes falsos. ADS-B usa GPS, no hay ninguna razón por la que no pueda falsificar los datos de GPS que se envían a una unidad de transmisión. La unidad no tendría forma de saber que los datos del GPS no son genuinos y enviaría información de posición pensando que era auténtica. Por lo tanto, incluso con la autenticación y la seguridad en el protocolo de transmisión, aún no puede confiar implícitamente en la información enviada, ya que los atacantes potenciales tienen acceso al hardware y los sistemas de transmisión reales. Esto significa que para confiar en la información, debe validarla utilizando otra fuente.

La FAA no ha dicho nada al respecto, dicen que tienen la situación cubierta pero no dicen cómo. Puede ser que sientan que el uso continuo del radar en áreas urbanizadas y seguras (no hay planes para deshacerse del radar por completo a favor de ADS-B) permitirá que las computadoras ATC filtren las falsificaciones. El radar está computarizado, algunos algoritmos inteligentes podrían hacer coincidir los datos del radar con las transmisiones ADS-B y alertar cuando los datos ADS-B no coinciden. Por ejemplo, un avión que intenta volar a la zona de Washington DC no podría utilizar la suplantación de identidad para acercarse a un objetivo sensible.

Esto significaría que las áreas donde es más probable que la suplantación de identidad tenga éxito serían áreas donde no hay cobertura de radar. Sí, alguien podría enmascarar la verdadera ubicación de su avión o falsificar un avión en estos lugares, sin embargo, los beneficios del sistema parecen superar los riesgos potenciales.

TL; DR: "No lo es. La FAA preferiría que no pensaras en eso".
Sin embargo, ¿cuántos lugares en países poblados no tienen cobertura de radar? En altitudes muy bajas o detrás de montañas o algo así, esperaría esto, pero no esperaría que fuera una situación terriblemente común. Incluso cuando vuelo a 4.500 pies sobre áreas bastante rurales, veo que mi transpondedor es interrogado por al menos 4 o 5 radares diferentes.
Hay una razón por la que ADS-B se probó en Alaska.
@GdD Bastante justo.
Ellos tienen la situación cubierta. La falsificación (o interferencia) de ADS-B requiere un transmisor de radio con una potencia significativa y que se pueda rastrear, y quienquiera que lo haya instalado podría haber sido visto o dejado huellas dactilares o rastros de ADN, etc. vienen por ti y te meten en la cárcel (porque interferir con el sistema crítico para la seguridad es ilegal) y simplemente no hay mucho que ganar en comparación con el riesgo.
Si te preocupa ir a la cárcel, eso sería un impedimento, y la mayoría de la gente lo hace @janhudec. Algunas personas no lo hacen
@GdD, bueno, las personas que no lo hacen realmente no pueden ganar tanto al interrumpirlo de todos modos.

(no es exactamente una respuesta, lo sé... un poco más de discusión)

De acuerdo, ADS-B es vulnerable a la suplantación de identidad. ¿Qué se podría hacer al respecto?

Aunque la FAA no ha sido exactamente comunicativa con sus planes, he visto artículos en el pasado que sugieren que pueden comparar el informe ADS-B, la estación receptora y un retorno de radar para algún nivel de discriminación. Al hacer una comparación, un receptor terrestre en Montana ignoraría automáticamente cualquier información de ubicación que afirme estar en Florida. Un avión en Montana podría falsificar su ubicación exacta por unas pocas docenas de millas, pero no podría mentir lo suficiente como para estar en un ARTCC completamente diferente.

Debido a que es un formato digital, una idea es que los transmisores tengan certificados digitales, por lo que deben firmar cada transmisión con su certificado. De forma predeterminada, todos los receptores verían todos los mensajes y un falsificador aún podría insertar mensajes falsos. Sin embargo, una vez que se identifica que un transmisor envía mensajes falsos, sería trivial establecer un filtro "Ignorar todos los mensajes del Tx 1357". El problema está llegando al reconocimiento inicial de que un transmisor está mintiendo en primer lugar. Y una vez que se ignoran sus mensajes falsos, la gran pregunta es "Entonces... este avión no está donde dice estar. ¿Dónde está realmente?"

En resumen: hay pasos de mitigación, pero nada que pueda asegurar automática y completamente un sistema cuando cualquiera puede ser un transmisor.

¿Cómo haces que un radar piense que estás a varias docenas de millas de tu ubicación real? Puede falsificar su altitud a una instalación de Modo C con bastante facilidad, pero su ubicación (latitud, longitud) parece ser bastante difícil de falsificar por más de unos pocos cientos de pies.
@Reirab: Ese es el punto. Puede mentir con ADS-B y decir que está en una ubicación, pero si Radar dice que no está allí, su mensaje ADS-B puede ser rechazado y marcado como fraudulento. Sin embargo, el radar primario tiene un error significativo en sus informes debido al rango inclinado y otros factores.

Para agregar a la publicación de @BigNutz.

La multilateración es una forma bastante segura de determinar que una transmisión es precisa.

TDOA (diferencia horaria de llegada) necesitaría al menos cuatro receptores sincronizados y es exactamente lo contrario de cómo funciona el GPS (usted determina su ubicación conociendo la distancia de al menos cuatro satélites).

Más es mejor, por supuesto, pero puede autenticar que alguien está transmitiendo desde esas coordenadas 3D. Sin embargo, no permite la autenticación de quién está transmitiendo el ADS-B.

Por lo tanto, cualquier persona que cuestione el nivel de caos y riesgo asociado con alguien que "falsifica" una aeronave en un Sistema de tránsito aéreo activo que utiliza ADS-B como parte o en su totalidad para la vigilancia del espacio aéreo ATC, debe repensar el problema. Sin entrar en detalles, basta con mirar el área de clase B de la ciudad de Nueva York en FR24 para ver fácilmente una de las parcelas de espacio aéreo más complejas y congestionadas del mundo. Si incluso un solo avión fantasma se inserta subrepticiamente en este sistema en el lugar equivocado en el momento equivocado, el resultado podría ser desastroso.

Si bien la FAA y la comunidad internacional eligieron ingenuamente crear un sistema sin encriptación ni verificación integrada de la integridad de la señal, han reconocido que es una vulnerabilidad y han desarrollado opciones. El más probable y predominante es el uso de multilateración de señales persistentes (MLAT) integradas, en tiempo real y paralelas para verificar las posiciones de las aeronaves. Lo largo de lo corto de MLAT es la triangulación utilizando las capacidades de tiempo y distancia de llegada (TDOA). Básicamente, si suficientes receptores pueden determinar la distancia de una aeronave en función del tiempo que tarda la señal del transpondedor en llegar desde la aeronave hasta el receptor, pueden determinar la posición.

Sería extremadamente difícil crear un conjunto de señales con la complejidad necesaria para imitar la de una aeronave real y lograr insertar una aeronave "fantasma" en la vigilancia ATS. Si considera que, si bien solo se necesitan 4 receptores para realizar MLAT, los sistemas de vigilancia ATS ADS-B certificados son mucho más sólidos y precisos.

Así que sí. Podría, debería, habría cifrado el sistema, pero no todo está perdido.

¿Cómo puede ADS-B ser seguro cuando se basa en autoinformes?
RespuestasAquíPolítica de privacidad1y, 0v