Autopilot von Android-Handy attackiert

[FlyingCream]

Gnaz so aus der Luft gegriffen finde ich das jetzt ja nicht. Thema ACARS schon, Thema ADS-B aber weniger.

 

Mit einer gefälschten ADS-B Positionsmeldung kann sicher einiges an Chaos angerichtet werden: Beispielsweise wenn aus gefälschten Signalen heraus eine TCAS-RA erfolgt.

 

Oder ist das Szenario so abwegig?

 

Grüsse,

Fabian

[fm70]

jeder Algorithmus der auf öffentlich zugänglichen Strategien beruht (z.B. Verschlüsselungssoftware) kann auch geknackt werden.

Das ist schlicht falsch, das Gegenteil ist wahr. Heute werden ganz allgemein nur Verschlüsselungsalgorithmen als sicher akzeptiert, die bekannt und damit auch überprüfbar sind. (Ich rede hier von ernsthaften Systemen, nicht von Windows-Gedöns und Konsorten.) Literatur dazu gibt's zuhauf.

 

Richtig ist, dass alle heute gängigen Verschlüsselungsalgorithmen auf die begrenzte Rechenleistung bauen und grundsätzlich mit Brute-Force-Attacken geknackt werden könnten, wenn da eben der Zeitfaktor nicht wäre. Ein Algorithmus, der heute taugt, wird auch in 20 Jahren unverändert taugen, gegebenenfalls muss man einfach die Schlüssellänge der gesteigerten Rechenleistung anpassen. (Du vertrittst ja immer die Position, dass sich die Grundgesetze der Physik nicht aushebeln lassen. Das gleiche gilt auch für mathematische Sätze.) Das gilt jedenfalls solange, als sich die Rechentechnologie nicht grundsätzlich ändert. Erst wenn (bzw. falls) so Dinge wie z.B. Quantenrechner tatsächlich einmal das Anwendungsstadium erreichen, wird man wohl auch grundsätzlich neue Verschlüsselungsalgorithmen konstruieren müssen.

 

Wenn zudem eine Datenübermittlung nach aussen geplant stattfindet (z.B. bei ADS-B und ACARS) dann kann man natürlich jeden Kommunikationspartner auch vortäuschen, wenn man über genug Insiderwissen verfügt.

Auch das ist falsch. Die Verhinderung von "Spoofing" ist eine zentrale Aufgabe der Kryptologie und es gibt heute sehr taugliche Lösungen. Allerdings nicht für ACARS und ADS-B, und genau hier setzt ja der besprochene Angriff an, wenn ich das richtig verstanden habe. Und da ist die Kritik tatsächlich berechtigt, gerade bei ADS-B kann ein Spoofing sehr sicherheitsrelevante Folgen haben. Hier besteht meiner Meinung nach tatsächlich Handlungsbedarf, wie übrigens auch beim heute noch möglichen Spoofing des GPS-Signals. (Ist Galieo da besser?)

 

Aber warum sollte es sich jemand so schwer machen ?

Wie man sieht kommt man doch problemlos ins Cockpit.

Vielleicht, weil es entgegen der erfolgreichen PR der Geheimdienste nur sehr wenige Terroristen, aber sehr viele Spass-Hacker gibt?

[sheckley666]

Hallo zusammen,

 

ich werfe mal als Literaturtipp den Roman Ein König für Deutschland von Andreas Eschbach in den Raum.

 

Der hat zwar leider nichts mit Fliegen zu tun, sondern mit Wahlcomputern. Aber nach seiner Lektüre war bei mir der letzte Rest an Illusion über die mögliche Sicherheit von Computern beim Teufel.

 

Grüsse, Frank

[sirdir]

Richtig ist, dass alle heute gängigen Verschlüsselungsalgorithmen auf die begrenzte Rechenleistung bauen und grundsätzlich mit Brute-Force-Attacken geknackt werden könnten, wenn da eben der Zeitfaktor nicht wäre. Ein Algorithmus, der heute taugt, wird auch in 20 Jahren unverändert taugen,

So grundsätzlich kann man das IMHO nicht sagen, resp. nur in der Theorie. Der Algorithmus taugt nämlich so lange, bis jemand eine Schwachstelle darin findet. Klar kannst du sagen, dann hat er auch heute nicht getaugt - aber das weiss dann noch niemand. Oftmals liegt das Problem allerdings auch eher in der spezifischen Implementierung und Randbedingungen (determinierbare 'Zufallszahlen' etc.)

 

Aber die Aussage, dass geheime Verschlüsselungsverfahren grundsätzlich als unsicher anzuschauen sind würde ich unterschreiben.

 

@stefanw: Natürlich ist objective c genau so geeignet, die Verbreitung von 'Schadsoftware' ist nur nicht so einfach im iPhone-Umfeld.

[cavoknosig]

also ich habe das pdf durchgelesen und das ist nun einmal weit entfernt von dem im artikel zitierten "android handy hackt autopilot", selbst in der pdf präsentation. da hat die zeitung noch etwas nachgepfeffert (wie immer...)

 

was aber durchaus ernst zu nehmen ist, ist die kritik an den unverschlüsselten datalinks sowie den schwächen von ADS-B.

ausserdem sind bezahlbare software defined radios tatsächlich eine coole neue entwicklung mit vielen guten anwendungen (aber wie alles auch mit missbrauchspotenzial).

 

CPDLC hat im gegensatz zu ACARS einen protected mode, welcher einiges schwieriger anzugreifen ist. das ziel ist, nur noch diesen protected mode zu verwenden. wegen zertifizierung, updatekosten etc... ist dies aber leider nicht einfach mit einem kleinen firmware update innerhalb eines monats auf allen ausgerüsteten flugzeugen zu erreichen.

 

alle ACARS und CPDLC meldungen gehen durch den humanfilter der piloten. ACARS wird meist auf papier ausgedruckt, CPDLC kommt zwar in die avionik, muss aber von den piloten validiert und bestätigt werden. so wie avionik entwickelt und zertifiziert wird ist das risiko auch recht klein, dass eine bogus-message z.b. zu einem reboot oder avionik-crash führen könnte, und eine DOS/jamming attacke bliebe ausser im fall von reinem ADS-B im wesentlichen ohne gefährliche auswirkungen, lokal begrenzt und wäre höchstens eine inconvenience. Bei ACARS besteht natürlich viel mehr klumpenrisiko weil es im wesentlichen nur 2 Anbieter/Infrastrukturen gibt, welche sich den Markt teilen.

 

Durch die piloten sollten also schon mal komplett sinnfreie schabernack messages ausgefiltert werden. mit etwas social engineering lässt sich aber da natürlich schon unruhe stiften, zumal sich die meisten piloten dem theoretischen risiko nicht bewusst sind und CPDLC sowie ACARS aufgrund der vielen erfolgreichen erfahrungen grundsätzlich vertrauen. dies setzt aber wiederum einiges weiteres an know-how seitens der störenfrieden voraus, als nur mit einem SDR den datalink zu hacken. wobei mit erst einmal "zuhören" natürlich auch viele plausible vorlagen zur verfügung stehen. das ganze ist zudem noch zeitkritisch, die gleiche message zum falschen zeitpunkt und der effekt ist weg.

 

in der aeropers rundschau 01/13 hat es einen guten awareness artikel drin, dass z.b. keine kreditkartendaten in cleartext oder crew/passagiernamen ausgeschrieben übertragen werden sollen.

http://www.aeropers.ch/de/component/docman/doc_download/616-rundschau-12013.html (seite 17)

 

solche überlegungen wie der hacker anstellt sind aber begrüssenswert und wurden offensichtlich bei der definition der standards vor jahren bzw jahrzehnten sträflich vernachlässigt.

security by obscurity hat schon früher schlecht funktioniert und funktioniert heute gar nicht mehr. nur mit schonungsloser transparenz lassen sich die echten löcher stopfen.

 

aus safety sicht ganz wesentlich (und im zeitungsartikel zwecks reisserischem bericht ausgeblendet) gibt es aber jeweil noch einige barrieren (Piloten, Lotsen, Funkfrequenz, TCAS/ACAS, Radar etc...) wonach ein solcher hack noch lange nicht zu einer midair-collision oder grosser zerlegung am berg führen muss. und das ist das wirklich wesentliche für die flugsicherheit!

Und gleichzeitig ein Hinweis an alle Träumer, welche am liebsten uns Lotsen und Piloten abschaffen möchten... Man spricht leider immmer nur von den Human Errors, nicht von den 10'000 Situationen, welche der Human gerettet hat.

[selli]

Der Vorteil, wenn derlei Datenpakete nicht verschlüsselt sind, ist, daß sie auch von anderen mitgelesen werden können, die mit Hilfe der Informationen vielleicht sogar gefährliche Situationen vermeiden können.

 

Man könnte über eine Signatur nachdenken, aber wenn die einheitlich ist, läßt sie sich fälschen. Wenn sie individuell ist, müßten alle potentiellen Sender im voraus bekannt sein, was auch nicht praktikabel ist.

 

Am besten scheint mir also sicherzustellen, daß das Fluggerät auf keine Nachricht ohne Freigabe durch den Piloten reagiert.

[F-LSZH]

Als ersten Schritt bei der Absicherung eines Systems muss man sich über die Bedrohungen und Angriffsvektoren Gedanken machen, und die Schutzziele festlegen. Das könnte zum Beispiel die Vertraulichkeit bestimmter Daten sein, aber auch die Integrität - also dass man Veränderungen erkennt. Erst dann kann man die geeigneten Gegenmassnahmen aus seinem technischen "Baukasten" auswählen.

 

Der Vorteil, wenn derlei Datenpakete nicht verschlüsselt sind, ist, daß sie auch von anderen mitgelesen werden können, die mit Hilfe der Informationen vielleicht sogar gefährliche Situationen vermeiden können.

 

Hier geht es um das Schutzziel "Vertraulichkeit". Bei ACARS sicherlich wünschenswert, bei ADS-B eher kontraproduktiv.

 

Man könnte über eine Signatur nachdenken, aber wenn die einheitlich ist, läßt sie sich fälschen. Wenn sie individuell ist, müßten alle potentiellen Sender im voraus bekannt sein, was auch nicht praktikabel ist.

 

Hier sprichst Du von Authentizität, wenn mittels einer digitalen Signatur überprüft werden soll, ob die Nachricht auch wirklich vom vorgegebenen Absender stammt. Und gleichzeitig kann man auch die Integrität der Nachricht verifizieren, also erkennen ob unterwegs jemand Veränderungen an der Nachricht vorgenommen hat.

 

Die Verfahren dafür existieren allerdings: de.wikipedia.org/wiki/Public-Key-Infrastruktur. Wir vertrauen ihnen täglich, wenn wir über einen Webbrowser Seiten abrufen und z.B. Banking-Anwendungen betreiben, bei denen es auf die Identität der Gegenstelle ankommt. Es wäre ohne die von Dir beschriebenen Probleme möglich, die ACARS-Nachrichten digital zu signieren. Die Zertifikate der einzelnen Absender (z.B. Luftfahrtgesellschaften) könnten von einer oder mehreren CA (Certificate Authority) signiert werden, die z.B. von den nationalen Luftfahrtbehörden betrieben werden.

 

Wir müssen dazu wirklich nicht die Kryptologie neu erfinden, es genügt den "State of the Art" anzuwenden. Dass das nicht von heute auf morgen geht, ist natürlich klar, das ist aber keine Entschuldigung dafür, die Hände in den Schoss zu legen und nichts zu tun.

 

Ciao

Friedrich

[Volume]

Richtig ist, dass alle heute gängigen Verschlüsselungsalgorithmen auf die begrenzte Rechenleistung bauen und grundsätzlich mit Brute-Force-Attacken geknackt werden könnten

Was die NSA soeben demonstriert hat...

NSA knackt Verschluesselungen im Internet

Solange man einen Augenblick Zeit hat, eine Verschlüsselung zu knacken und genug Rechenpower, ist keine Verschlüsselung wirklich sicher. Man kauft sich damit nur ein wenig Zeit: Der geplante Empfänger in Besitz des Schlüssels kann die Nachricht schneller lesen, als die "bösen Buben".

In der Luftfahrt und bei der Flugsicherung mag das bereits ausreichen, was interessiert mich die Positionsmeldung von vor 15 Minuten... Die ist etwa so hilfreich wie die Runway hinter einem, die Luft über einem und der Sprit, den man bereits verbraucht hat.

 

Gruß (auch an die mitlesenden Geheimdienste ;) )

Ralf

[Danix]

sicher kann man jedes Programm knacken.

 

Allerdings stellt sich dann natürlich die Frage nach dem Aufwand. Erstens wird die NSA bzw. die USA kein Interesse haben, ein Verkehrsflugzeug zum Absturz zu bringen, und zweitens ist es wohl am Schluss einfacher, das Flugzeug abzuschiessen oder es abzufangen, als es mühsam elektronisch "fernzusteuern".

 

Dani

[Volume]

Einfacher ja, aber nicht jeder ist scharf auf Pardies und 42 Jungfrauen oder auf den Knast. Wenn man nicht erwischt werden will, treibt man vielleicht gern den Aufwand es etwas komplizierter zu machen, zumal wenn es nicht soooo viel komplizierter ist. Interessanterweise hat in der Vergangenheit nur ganz selten jemand den "einfachen" Weg mit der Bazooka am Flughafenzaun gewählt, die meisten haben es sich komplizierter gemacht.

 

Erstens wird die NSA bzw. die USA kein Interesse haben, ein Verkehrsflugzeug zum Absturz zu bringen

Ausnahmen bestätigen die Regel... Und von dem Itavia Fall wollen wir dank immer noch unklarer Faktenlage besser gar nicht anfangen. Also ich kann mir durchaus Situationen vorstellen, in denen auch Staaten gerne diese Möglichkeit hätten. Auch bei uns hat es erst ein Verfassungsgerichtsurteil gebraucht, die potentielle Abschussmöglichkeit von Verkehrsflugzeugen wieder vom Tisch, oder zumindest aus den Augen der Öffentlichkeit zu bringen.

 

Gruß

Ralf

[Danix]

Iran Air und Itavia waren wohl eher ein Versehen - obwohl das natürlich ein paar Verschwörungstheoretiker ein bisschen anders sehen.

 

Ich wiederhole, die USA haben verschiedene Möglichkeiten ein Flugzeug runterzuholen, auch heimlich (z.B. Mikrowellenstrahlung, Laser) dafür brauchen sie keine evtl Lücke in der Bordelektronik.