Summary of “Wireless Attacks on Aircraft Instrument Landing Systems”
1. UNIVERSITÀ DEGLI STUDI DI TRIESTE
Dipartimento di Ingegneria e Architettura
Corso di Studi in Ingegneria Elettronica ed Informatica
Summary of “Wireless Attacks on Aircraft
Instrument Landing Systems”
Tesi di Laurea Triennale
Laureando:
Federico CALANDRA
Matricola: IN0500362
Relatore:
prof. Alberto BARTOLI
_____________________________________
Anno Accademico 2019 – 2020
3. 2
1 Introduzione
Negli ultimi decenni, il settore dei trasporti aerei civili ha subito una continua ed
inesorabile crescita. Si stima che nel 2019 siano stati più di 4.5 miliardi i passeggeri
che hanno scelto il mezzo aereo per viaggiare, mentre si prevede che nel 2020 tale
numero cresca a 4.7 miliardi [2]. L’industria aeronautica risulta quindi in forte
espansione e si trova a dover fronteggiare nuove e sempre più complesse sfide
tecnologiche, dettate principalmente da crescenti standard di sicurezza. In tale
ambito, si colloca l’Instrument Landing Systems (ILS), che rappresenta il più
diffuso strumento d’assistenza ai piloti nella fase di atterraggio. In questo articolo
verranno simulati e successivamente valutati due differenti tipi di attacchi
(overshadow attack, single tone attack).
2 Instrument Landing System (ILS)
I sistemi ILS sfruttano delle antenne direzionali che trasmettono due segnali a
differenti frequenze (90 Hz e 150 Hz) modulati in ampiezza da un segnale portante,
la cui frequenza è gestita dalla pista di atterraggio stessa. I segnali a 90 Hz e 150
Hz si combinano nello spazio tridimensionale, dando origine ad un segnale con
differenti profondità di modulazione (DDM o different depths of modulation) in
punti diversi di tale spazio.
Figura 1: Funzionamento schematico ILS
4. 3
In particolare l’ILS è formato da tre sottosistemi indipendenti (fig.1):
• Localizzatore. È formato da un vettore di antenne che trasmettono i due
segnali facendo in modo che il segnale a 150 Hz sia prevalente sulla destra
dell’asse della pista, mentre quello a 90 Hz sulla sinistra. La frequenza
portante è compresa tra i 108.1 MHz e i 111.95 MHz.
• Glide Slope. Detto anche piano di planata, è analogo al precedente ma
sfrutta due sole antenne montate su una torre la cui altezza varia in funzione
dell’angolo di planata definito dalle caratteristiche della pista. Tale angolo
delimita due regioni spaziali, una sopra ad esso, in cui prevale la
componente a 90 Hz, ed uno sotto, in cui prevale quella a 150 Hz. La
frequenza portante in questo caso è tra 329.15 MHz ed i 335.0 MHz.
• Ricevitore ILS. È montato sul velivolo e ha il compito di amplificare e
demodulare il segnale ricevuto. Vengono poi recuperate le due componenti
a 90 Hz e 150 Hz tramite dei filtri passa banda. Infine, le due sorgenti AC
così acquisite, vengono convertite in una tensione continua tramite l’uso di
un rettificatore a ponte di diodi. Le due tensioni ottenute sono direttamente
proporzionali al DDM dei due segnali (2.1)(fig.2). Si può trovare in questo
modo quale sia la frequenza dominante nel punto dello spazio in cui si trova
il velivolo (sia per il piano localizzatore che per quello di planata). Tale
informazione è quindi elaborata e riportata sull’indicatore CDI (course
deviation indicator) di bordo.
𝐷𝐷𝑀 = 𝑉90 − 𝑉150 (2.1)
Figura 2: Ricevitore ILS
5. 4
3 Tipologie d’attacco
Vengono ora esposti, da un punto di vista teorico, due tipi differenti di attacco al
sistema ILS: overshadow attack e single-tone attack. Questi verranno poi testati dai
ricercatori in un ambiente di simulazione (si veda paragrafo 4). In entrambi i casi si
assume che l’attaccante abbia una completa conoscenza delle caratteristiche fisiche
del segnale ILS (frequenza, modulazione, ecc.) e che sia in grado di trasmettere dei
segnali radio con caratteristiche simili. Un attaccante può facilmente soddisfare tali
presupposti, considerando che: i) i dettagli tecnici dell’ILS sono di dominio
pubblico, ii) le piattaforme SDR per la trasmissione o la ricezione di segnali radio
sono accessibili a chiunque. Infine, nel caso di un overshadow attack, si suppone
che l’attaccante conosca la posizione in tempo reale del velivolo bersaglio. Tale
condizione non è necessaria per il single tone attack.
Overshadow attack
L’idea alla base di questa strategia è quella di sopraffare il vero segnale dell’ILS
con uno fittizio di potenza superiore, infatti il ricevitore ILS “aggancerà” e
processerà esclusivamente il segnale più potente. L’equazione (2.2) mostra tale
concetto applicato al localizzatore, con 𝑉𝐴𝑇 dipendente dalla trasmissione
dell’attaccante. In particolare, il segnale d’attacco sarà generato come somma dei
due segnali a 90 Hz e 150Hz, modulato in ampiezza su una frequenza portante pari
a quella del vero segnale ILS. Le ampiezze dei due segnali da combinare sono scelte
in funzione del DDM che l’attaccante vuole passare al ricevitore ILS montato sul
velivolo.
𝐷𝐷𝑀 = [𝑉𝐿𝑂𝐶90 + 𝑉𝐴𝑇90] − [𝑉𝐿𝑂𝐶150 + 𝑉𝐴𝑇150]
𝑠𝑒 𝑉𝐿𝑂𝐶90 ≪ 𝑉𝐴𝑇90 , 𝑉𝐿𝑂𝐶150 ≪ 𝑉𝐴𝑇150 𝑎𝑙𝑙𝑜𝑟𝑎
𝐷𝐷𝑀 ≅ 𝑉𝐴𝑇90 − 𝑉𝐴𝑇150 (2.2)
Modificando quindi la differenza di ampiezza dei due segnali a 90 Hz e 150Hz,
l’attaccante può avere un totale controllo del CDI e, di conseguenza, del percorso
d’avvicinamento dell’aereo alla pista d’atterraggio (fig.3).
6. 5
Figura 3: Overshadow attack
Single-tone attack
In questo caso il segnale dell’attaccante interferisce con solo uno dei due segnali a
90Hz o 150Hz dell’ILS. L’attaccante trasmette un segnale a 90 o 150Hz avente la
stessa fase del segnale dell’ILS e, ovviamente, la stessa frequenza portante. In
questo modo, il segnale ricevuto dall’aereo risulta essere la somma del segnale reale
e di quello fittizio (fig.4). Conseguentemente il DDM sarà alterato e darà false
indicazioni al pilota (o al pilota automatico). Questa tattica, rispetto alla precedente,
non necessita la generazione di un segnale ad alta potenza. Di contro, un approccio
di questo tipo impone una particolare attenzione: il segnale dell’attaccante deve
avere la stessa fase di quello originale. Ciò rende essenziale un meccanismo di
sincronizzazione.
Figura 4: Single-tone attack
4 Implementazione dell’attacco
L’esperimento consiste in una serie di simulazioni che mettano in atto i concetti
esposti nel paragrafo 3. Per ricreare tali condizioni i ricercatori hanno utilizzato i
seguenti componenti:
1. X-Plane 11: Un simulatore di volo professionale certificato dalla FAA
(Federal Aviation Administration) ed utilizzato in numerose scuole di volo.
2. Unità di controllo: Utilizzata dall’attaccante per elaborare le informazioni
relative alla posizione dell’aereo. Per l’esperimento è stato usato un laptop.
7. 6
3. USRP B210: Piattaforma SDR per la trasmissione di segnali. Per
l’esperimento ne sono stati usati due (uno per trasmettere il vero segnale
dell’ILS, l’altro per trasmettere il segnale dell’attaccante).
4. Ricetrasmettitore aeronautico: I due modelli utilizzati sono il Yaesu FTA-
750L ed il Sporty’s SP-400. Entrambi sono in grado di elaborare i segnali
ILS.
Sull’unità di controllo sono caricati due algoritmi: il primo ha il compito di
determinare quando iniziare la trasmissione del segnale malevolo (ovvero quando
il velivolo target entra nella così detta spoofing zone), il secondo è un algoritmo per
la generazione del segnale. Quest’ultimo riceve in input la posizione in tempo reale
dell’aereo ed elabora opportunamente il segnale da passare in output alla scheda
USRP B210.
5 Valutazione dell’attacco
Vengono ora esposti i risultati ottenuti dai ricercatori per i due tipi di attacco, con
relative considerazioni in merito all’efficacia e alla potenza richiesta.
Overshadow attack
Sono stati effettuati dei test d’attacco sul localizzatore e sul glide-slope
separatamente. La trasmissione del segnale malevolo è iniziata tempestivamente e
non ha causato bruschi spostamenti delle barre indicatrici del CDI, rendendo
l’eventualità che i piloti (o l’auto pilota) si accorgano dell’attacco assai
improbabile. Per quanto riguarda il localizzatore, sono stati effettuati sei test in
modo che la deviazione dell’aereo fosse di 0.5°, 1.0°, 1.5, -0.5°, -1.0°, -1.5°
(rispetto all’asse della pista). Anche per il glide-slope sono stati eseguiti sei test con
angoli di planata compresi tra i 2.8° e i 3.3° (N.B. l’angolo di planata originale della
pista in questione è di 3°). I risultati sono proposti in fig.5.
8. 7
Figura 5: Risultati overshadow attack.
Single-tone attack
Anche in questo caso gli algoritmi per l’inizio della trasmissione e l’elaborazione
del segnale d’attacco si sono dimostrati efficaci. Tuttavia il problema relativo
all’effettiva realizzazione di un meccanismo di sincronizzazione ad alta precisione,
che tenga in fase il segnale dell’attaccante con quello originale (vedi paragrafo
precedente), si è dimostrato essere una grave complicazione. Infatti lo sfasamento
tra i due segnali causa una distorsione del segnale demodulato dall’ILS, che si
ripercuote sulla stabilità delle barre indicatrici del CDI, causandone l’oscillazione.
Questo comporta l’inevitabile identificazione dell’attacco da parte dei piloti e del
computer di bordo (che segnala un possibile guasto al sistema ILS). Tuttavia,
nonostante tale grande limitazione, questo tipo di attacco può essere ripensato come
un attacco DoS (si veda conclusione).
Viene infine esposta in fig.6 la comparazione dei risultati relativi alla potenza
necessaria per implementare l’attacco. Questa valutazione è stata effettuata su un
campione di 400 test (l’intervallo di confidenza dei valori ottenuti è del 95%).
10. 9
6 Conclusioni
La relazione dimostra come l’ILS sia vulnerabile ad attacchi wireless che non
richiedono avanzate conoscenze tecniche né un elevato budget. Questi fattori, uniti
al fatto che l’ILS sia uno strumento fondamentale per i piloti, soprattutto in
condizioni metereologiche sfavorevoli [3], evidenziano la necessità di ulteriori
studi a riguardo e, successivamente, della progettazione di nuovi e più sicuri
sistemi. Questi possono ad esempio implementare una crittografia del segnale ILS,
un ricevitore in grado di accorgersi automaticamente di un attacco e delle tecniche
di autenticazione (ciò implicherebbe una comunicazione bidirezionale). Ulteriori
ricerche potrebbero inoltre focalizzarsi sullo studio degli effetti di un attacco DoS
al sistema ILS (solamente accennato in questo paper). Questo tipo di attacco è più
verosimile e molto più semplice da effettuare, sebbene non produca
necessariamente risultati catastrofici, sarebbe comunque in grado di bloccare
l’intero traffico aereo di un aeroporto.
11. 10
Riferimenti bibliografici:
[1] Harshad Sathaye, Domien Schepers, Aanjhan Ranganathan, Guevara Noubir,
Wireless Attacks on Aircraft Instrument Landing Systems, USENIX Security
Symposium 2019.
[2] Number of scheduled passengers boarded by the global airline industry from
2004 to 2020, statista.com.
[3] Air India Boeing 777 lands after massive system failures, aeronautics.com.
