KIBERNETSKA VARNOST V CIVILNEM LETALSTVU

Transkripcija

1 Tomaž Brodgesell KIBERNETSKA VARNOST V CIVILNEM LETALSTVU Diplomsko delo visokošolskega študijskega programa Informacijska varnost Ljubljana, september 2017

2 KIBERNETSKA VARNOST V CIVILNEM LETALSTVU Diplomsko delo Študent: Študijski program: Mentor: Tomaž Brodgesell visokošolski študijski program Informacijska varnost izr. prof. dr. Igor Bernik

3 Zahvala Iskreno se zahvaljujem staršem za finančno in moralno podporo med študijem ter dekletu in prijateljem, ki so mi nudili pomoč in me spodbujali med študijem in pisanjem diplomskega dela. Zahvaljujem se tudi mentorju izr. prof. dr. Igorju Berniku za napotke, usmerjanja in pomoč med izdelavo zaključnega dela. I

4 Kibernetska varnost v civilnem letalstvu Ključne besede: ADS-B, NextGen, zračni promet, grožnje, letalstvo. Povzetek Napredujoča tehnologija poleg vseh prednosti predstavlja tudi varnostne grožnje. Vsakodnevni varnostni incidenti v kibernetskem okolju so temelj, iz katerega se lahko hitro razvijejo resne grožnje na področju letalstva. Večina civilnoletalskih organizacij temelji na elektronskih sistemih za opravljanje ključnih funkcij. V preteklosti je bila potreba po kibernetski varnosti v civilnem letalstvu sorazmerno majhna, vendar se tudi to področje spreminja. Z razvojem novih informacijskih tehnologij na tem področju se povečuje tudi tveganje za kibernetske napade na civilno letalstvo. Eden takšnih sistemov je sistem oz. protokol ADS-B (automatic dependent surveillance system). Sistem naj bi bil do leta 2020 popolnoma vpeljan v uporabo pri upravljanju zračnega prometa. Medtem ko naj bi bil eden od ciljev vpeljave sistema ADS-B v zračni promet tudi povečanje varnosti, pa ta z vidika kibernetske varnosti dokazuje ravno nasprotno, saj so napadi na sistem ADS-B za zmerno prefinjenega hekerja tako preprosti kot praktično izvedljivi. Možni napadi se gibljejo od pasivnih, kot je prisluškovanje, do aktivnih, kot sta vrivanje sporočil in povzročanje motenj. Tako kot vsi sistemi tudi letalski elektronski sistemi potrebujejo ustrezno zaščito pred kibernetskim napadom, saj ima napad na ta del infrastrukture lahko resnejše posledice. II

5 Cyber security in civil aviation Keywords: ADS-B, NextGen, air traffic, threats, avionics. Abstract Advancing technology, in addition to all of its advantages, also represents security threats. Everyday security incidents in the cyber environment are the basis for thinking there could be serious threats to aviation. Most civilian aviation organizations depend on electronic systems to perform crucial functions. In the past, the need for cyber security in civil aviation was relatively small, but this area is also changing. With the development of new information technologies, the risk of cyberattacks in civil aviation are increasing One such systems, is system or protocol ADS-B (automatic dependent surveillance system). The ADS-B system is expected to be fully implemented for use in air traffic management by the year While one of the objectives of introducing an ADS-B system in air traffic is increasing security, that aspect of cyber security proves just the opposite. Attacks on the ADS-B system are, for moderately sophisticated hackers, both easy and feasible. Possible attacks range from passive, like eavesdropping, to active, such as message injection and jamming. Avionic systems require adequate protection against cyberattacks, as an attack on this part of the infrastructure could lead to serious consequences. III

6 Kazalo vsebine 1 Uvod Namen in cilj diplomskega dela Metode raziskovanja Kibernetska varnost in sodobno civilno letalstvo Sodobna e-enabled letala Brezžične komunikacije letala Sistem nadzora zračnega prometa naslednje generacije Sistem za samodejno oddajanje nadzornih podatkov Znane ranljivosti in grožnje sodobnemu letalstvu Pasiven napad Aktiven napad Lažno letalo na pilotovem zaslonu Lažno letalo na kontrolorjevem zaslonu Poplavljanje z lažnimi letali Navidezna sprememba smeri Napad z lažnim alarmom Napad z zavrnitvijo storitev zemeljske postaje Izginotje letala Presoja kibernetske varnosti sodobnih nadzornih sistemov zračnega prometa Zaupnost Celovitost Razpoložljivost Možne rešitve Kriptografija Avtentikacija MAC Message Authentication Code Multilateracija Razprava in zaključek Viri in literatura IV

7 1 Uvod V zadnjem desetletju je nebo postalo precej natrpano. Življenjska doba trenutne infrastrukture upravljanja zračnega prometa se počasi izteka, saj programska oprema, strojna oprema, arhitektura in omrežne povezave glede na rast letalske industrije niso sposobne zagotavljati in izpolnjevati zahtev, ki jih predstavlja prihodnost letalstva. Sistemi letalskega prometa naslednje generacije, kot je NextGen, bodo uporabljali nove tehnologije in procese, s katerimi bo možno povečati kapaciteto zračnega prostora in funkcionalnost letal. Stare analogne tehnologije in radarje bodo zamenjale satelitske in digitalne tehnologije. Nastajajoč problem tradicionalnih radarskih sistemov je njihova sorazmerno nizka natančnost. Vedno večja gostota prometa na nebu zahteva zaznavanje letal s tehnologijo, ki presega omejitve teh radarskih sistemov. V prihajajočih sistemih nadzora zračnega prometa bodo s svojim naprednim zaznavanje ter računalniškimi in komunikacijskimi funkcijami ključno vlogo igrali e-enabled letala in sistem ADS-B, ki obljubljajo zahtevano natančnost. Vsa e-enabled letala bodo uporabljala sistem, imenovan automatic dependent surveillance broadcast oz. krajše ADS-B, ki temelji na globalnem sistemu pozicioniranja GPS in digitalnih povezavah s preko 150 km dosegom, kar bo omogočalo avtomatizacijo in decentralizacijo nadzora zračnega prometa (Sampigethaya, Poovendran, in Bushnell, 2009). Ideja sistema ADS-B je neprestano in avtomatizirano oddajanje podatkov letala. Do leta 2020 naj bi tako v Združenih državah Amerike (ZDA) kot tudi v Evropi vsi redni leti oddajali svoje podatke preko tehnologije ADS-B (Strohmeier, Schäfer, Lenders, in Martinovic, 2014). 1.1 Namen in cilj diplomskega dela Cilj diplomskega dela je na podlagi dostopnih strokovnih virov pojasniti kibernetske grožnje, ki bi lahko vplivale na letalske sisteme, kontrolorje zračnega prometa, pilote in letalsko varnost. Osredotočili se bomo na občutljive sisteme in prefinjene napade, zlasti na napade na sistem ADS-B, ki povzročajo zlonamerne manipulacije letalskih sistemov in temeljijo 1

8 predvsem na vrivanju lažnih letal v sistem, spreminjanju položaja letal ali zakrivanju prisotnosti obstoječega letala. Namen dela je poglobiti se v rastoč problem kibernetske varnosti v civilnem letalstvu ter prepoznati možnosti kibernetskih napadov in njihove posledice. Namen je osredotočiti se na izkoriščanje ranljivosti letalskih sistemov, predvsem prihodnjega sistem NextGen, s poudarkom na protokolu ADS-B in okvirno predstaviti potencialne rešitve. 1.2 Metode raziskovanja V diplomski nalogi bomo uporabili deskriptivno metodo in sintezo znanja. Uvodoma bomo predstavili kibernetsko varnost v povezavi s sodobnim civilnim letalstvom. Nato bomo opisali sodobne letalske sisteme, ki vplivajo na stopnjo kibernetske varnosti, in vse skupaj povezali z ranljivostjo in tveganji za kibernetske napade, ki zadevajo te sisteme in posledično celotno civilno letalstvo. 2

9 2 Kibernetska varnost in sodobno civilno letalstvo V letalski industriji je varnost ključnega pomena, zato kibernetski napadi na ta del infrastrukture postajajo občutljiva tema. Kibernetski prostor v primerjavi z realnim svetom predstavlja zelo ugodne razmere za izvajanje nezakonitih dejavnosti. V nekaterih razvitih državah so bili priča že marsikateremu resnemu kibernetskemu incidentu in kot odgovor so se ponekod začele razvijati posebne enote za boj proti kibernetskim napadom. Glede na to je upravičeno sklepati, da bo tudi infrastruktura letalskega prometa prej ali slej postala tarča tovrstnih groženj. Letala so bila v preteklosti in še vedno so priljubljena tarča teroristov, in ker se zaradi ugodnejših razmer in manjšega tveganja tudi tradicionalni terorizem podaja v spletno okolje, je to le še dodatna grožnja, ki jo je treba vzeti resno (Virgillito, 2015). Govorna komunikacija postaja problematična za učinkovito upravljanje gneče na nebu. Za zmanjševanje te težave sta ZDA in Evropa predstavili tehnologijo NextGen, ki omogoča učinkovitejši sistem upravljanja zračnega prometa z uporabo digitalnih komunikacij. Bistvo ideje je prehod na omrežno infrastrukturo, ki temelji na različnih brezžičnih vmesnikih (npr , itd.) in implementaciji internetnih protokolov (npr. TCP, UDP itd.) za komunikacijo med nebom in zemljo. Ta vrsta okolja, kjer lokalno omrežje sistemov v letalu za svoje operacije komunicira z zemeljsko postajo prek porazdeljenega računalniškega omrežja, predstavlja precejšnje tveganje za varovanje zasebnosti. Poleg tega ta vrsta tehnološke preobrazbe, kjer je potrebna izmenjava informacij tudi z zunanjimi strankami (npr. letalske družbe, letališča, ponudniki navigacijskih storitev zračnega prometa itd.), prispeva k vse večjim varnostnim grožnjam (Sampigethaya in Poovendran, 2011). 2.1 Sodobna e-enabled letala Tehnološki napredek je povzročil spremembe tudi na področju letalstva in tako povečal učinkovitost letal, letalskih družb in sistemov zračnega prometa. Rezultat so tako imenovana e-enabled letala, ki omogočajo samodejno povezavo in interakcijo z zemeljskimi 3

10 postajami in sistemi zračnega prometa. Ta nova generacija letal ima svoje sisteme povezane z zemeljskimi postajami v realnem času, kar omogoča stalen prenos podatkov (Salah, 2013). Prav zaradi funkcije stalnega prenosa podatkov v realnem času so e-enabled letala označena za tako posebna. Oddajanje podatkov v realnem času je v letalski industriji novost, ki prinaša velike prednosti tako za pilote kot kontrolorje, saj niso več vezani na govorno komunikacijo in zastarelo radarsko tehnologijo. E-enabled letala so sestavljena iz visokointegriranih in med seboj povezanih računalnikov s prilagojeno programsko in strojno opremo, ki omogočajo nadzor in upravljanje v realnem času. Hrbtenico teh letal predstavlja tehnologija TCP/IP, ki povezuje ključne letalske sisteme, podatke o potnikih in sisteme za zabavo tako, da iz letala ustvari leteči strežnik. Preko brezžičnega omrežja se med letalom in zemeljskimi postajami pošiljajo in sprejemajo ključni podatki o letu, navigaciji in informacije o upravljanju in vzdrževanju. Medtem ko ta tehnologija prinaša višjo raven učinkovitosti letenja in poslovanja, hkrati prinaša tudi varnostna tveganja in zahteve (Air Informatics LLC, n. d.). 2.2 Brezžične komunikacije letala E-enabled letalo je opremljeno z napredno brezžično tehnologijo in letalsko elektroniko, kar omogoča letalu širokopasovno povezljivost v celotnem svetovnem zračnem prostoru, kjer izmenjava informacij med letalom in zemeljskimi postajami poteka z uporabo interneta. Poleg tega logični sistem e-enabled letala uporablja omrežno infrastrukturo, ki mu omogoča komunikacijo za delovanje treh ključnih delov, in sicer komunikacijo za nadzor letala, letalske informacijske storitve ter storitve za razvedrilo in obveščanje potnikov. Komunikacijski del za nadzor letala letalo uporablja za medsebojno komunikacijo z drugimi letali in zemeljskimi postajami z uporabo različnih letalskih protokolov (npr. UAT, 1090MHz ES itd.). Med komuniciranjem se občutljivi podatki, kot so 24-bitne ICAO-kode letal, izmenjujejo z uporabo teh protokolov. Komunikacija letalskih informacijskih storitev je odgovorna za pretok podatkov, kot so posodobitve programske opreme, ki so bistvenega pomena za stabilno operativnost letala. Zadnji del komunikacije, torej storitve za razvedrilo 4

11 potnikov in obveščanje, potnikom omogoča možnost gledanja televizije v živo, dostop do interneta in različne vrste razvedrila in zabave med letom. Komunikacija strogo temelji le na brezžičnih in mobilnih omrežjih (npr , ) (Sampigethaya in Poovendran, 2011). Ta vrsta infrastrukture, pri kateri se informacije ključnega pomena izmenjujejo z uporabo globalnega sistema pozicioniranja, računalništva v oblaku in brezžičnih komunikacij, predstavlja velike varnostne izzive in izpostavlja podatke, ki se izmenjujejo različnim napadom. Takšno okolje ustvarja resna vprašanja, saj so v nevarnosti življenja potnikov in članov posadke. 5

12

13 3 Sistem nadzora zračnega prometa naslednje generacije Sistem nadzora zračnega prometa naslednje generacije (NextGen) je temeljito preoblikoval sedanji starinski sistem nadzora zračnega prometa, ki temelji na radarjih. Namesto radarja in govorne komunikacije NextGen za nadzor uporablja sistem globalnega pozicioniranja (GPS) in je tako spremenil način usmerjanja letal skozi nebo. Ključna ideja sistema NextGen je pretvoriti večino komunikacije zrak zemlja iz glasovne v podatkovno in hkrati v realnem času te podatke posredovati pilotom in nadzornim stolpom. Ta vrsta sodelovanja poenostavlja letalske operacije skozi vse faze letenja in izboljšuje učinkovitost s pomočjo boljše situacijske zavesti za pilote in kontrolorje (Cox in LoBue, 2010). Situacijska ozaveščenost in podpora s podatki sta pri letenju in nadzoru zračnega prostora ključnega pomena. Sistem NextGen pripomore tudi k večji avtomatizaciji letala in s tem dodatno razbremeni pilote. Komunikacija med letalom in sistemom nadzora zračnega prometa strogo temelji le na podatkovni povezavi in tako odpravlja jezikovne napake in pilotova napačna sporočila. Navigacija je v celoti prepuščena uporabi satelitov. Letala drug od drugega v realnem času prejemajo podatke o natančni lokaciji in s tem pilote podprejo z več informacijami, kar jim olajšuje odločitve glede potovalne poti in njene varnosti. ADS-B, hrbtenica NextGena, temelji na GPS-satelitih, preko katerih natančno identificira lokacijo, hitrost in višino letala ter te informacije deli z ostalimi letali, opremljenimi s sistemom NextGen (Federal Aviation Administration [FAA], 2012). Vsi ti podatki so pilotom na voljo na zaslonih v pilotski kabini. Tradicionalni radar poroča lokacijo vsakih 12 sekund, ADS-B to počne vsako sekundo, kar je velika prednost. Izboljšuje tudi navigacijo skozi težko dostopne terene (U. S. Government Accountability Office, 2011). Poleg tega tehnologija NextGen omogoča še optimalen, sinhroniziran pretok prometa na vzletno-pristajalnih stezah z uporabo nadzornega sistema Airport Surface Detection System-Model X (ASDE-X) (FAA, 2010b). Pomembno se je zavedati, da je NextGen še vedno v fazi razvoja. Posledično obstajajo določene omejitve v trenutno implementiranih sistemih. Načrtovano je, da se bo do leta 2025 zračni promet okoli sveta premikal varno, učinkovito in ustrezno zavarovano in da ga 7

14 bo uporabljalo čim več letališč po svetu. Učinkovitost NextGena ni odvisna zgolj od ene organizacije, temveč od sodelovanja in prizadevanja med domačimi in mednarodnimi vladami in organizacijami, kot so Federal Aviation Administration Ameriška zvezna uprava za letalstvo (FAA), International Civil Aviation Organization (ICAO), Single European Sky Air Traffic Management Research (SEASAR) in mnoge druge (FAA, 2011). Vsaka odgovorna organizacija se mora zavedati tako pozitivnih kot negativnih lastnosti, ki jih prinašajo novosti v sistemu nadzora zračnega prometa. Pomembno je, da pri nadaljnjem razvoju organizacije upoštevajo priporočila glede kibernetske varnosti letalskih sistemov. Da NextGen lahko opravlja podatkovno komunikacijo in pretok informacij, je potrebna tehnologija, imenovana System Wide Information Management (SWIM). SWIM je informacijska platforma, ki procesira in deli podatke med avtorizirane uporabnike različnih sistemov (FAA, 2010c). Ker sta varnost in učinkovitost zračnega prostora močno odvisni od tega, kako dobro so različni sistemi zmožni komunicirati med seboj, predstavlja SWIM ključni del NextGena (FAA, 2010b). Prehod na digitalne komunikacijske sisteme omogoča pilotom in kontrolorjem takojšnjo neposredno komunikacijo z manj napakami in spremljanje gibanja letala skozi vse faze leta (vzlet, let in pristanek) v realnem času (Digital Decisions, 2012). Cilj NextGena je prehod na pametnejšo, satelitsko in digitalno tehnologijo z namenom narediti potovanje po zraku priročnejše, predvidljivejše in okolju prijaznejše. Natrpanost zračnega prostora strašno narašča, zato se od NextGena pričakuje, da bo pomagal slediti in voditi letala natančneje in po bolj neposrednih poteh. Učinkovitost NextGena povečuje varnost, zmanjšuje zamude, prihrani gorivo in zmanjšuje izpušne emisije letala (FAA, 2012). NextGen omogoča manj sedenja na letališčih in zadrževanja v zraku. Njegova tehnologija in postopki bistveno zmanjšujejo čas letenja, kar pomeni privarčevanje denarja in boljšo izkušnjo za potnike in letalsko skupnost. NextGen omogoča tudi izmenjavo trenutnih podatkov o vremenu, lokaciji letala in razmerah v zraku. To pomeni, da bodo imeli pravi ljudje prave informacije v pravem času, kar jim bo omogočilo boljše odločitve in pravočasno ukrepanje. NextGen je zaradi svojih prednosti tudi okolju prijaznejši (FAA, 2012). Glavna prioriteta FAA je zagotavljanje varnega neba in NextGenove inovacije in izboljšave 8

15 naj bi zagotavljale ravno to. NextGen bo kontrolorjem zračnega prometa in pilotom zagotavljal orodja, s katerimi bodo lahko proaktivno identificirali in reševali vremenske in ostale nevarnosti (FAA, 2012). Juneau International Airport z Aljaske je prvo letališče, ki je sprejelo NextGen. Zaradi gorovja, ki obkroža letališče, se letala spuščajo skozi zelo ozek prehod, skozi katerega je včasih, zlasti ob slabi vidljivosti, nemogoče krmariti. NextGenove postopki, ki držijo letalo na natančni poti do letališča, so pomembna pomoč za aljaško letalsko družbo, saj pomagajo odpraviti odpovedovanje letov in preusmeritve zaradi vremena. Letalska družba je tako prihranila 15 milijonov dolarjev v enem letu. Ti postopki so tako učinkoviti, da je v letu 2011 aljaška letalska družba na letališče Juneau izvedla 820 poletov, ki bi drugače bili prestavljeni, preusmerjeni ali popolnoma odpovedani (FAA, 2013). 9

16

17 4 Sistem za samodejno oddajanje nadzornih podatkov Tako v preteklosti kot danes se za vodenje pilotov in sledenje letal skozi preobremenjen zračni prostor uporabljata primarni in sekundarni nadzorni radar. Tovrstni sistem ima svoje omejitve v človeških napakah, ceni in natančnosti. Primarni nadzorni radar (PSR) deluje po načelu oddajanja signalov. Ti signali se nato odbijajo od letala. Sekundarni nadzorni radar (SSR) je izboljšana različica radarskega sistema, ki v osnovi odgovarja na signale s pomočjo oddajnika na letalu (FAA, 2014). Tako primarni kot sekundarni radar sta tehnologija, ki pa se od leta 1970 do danes ni kaj dosti spremenila. Medtem ko radarska tehnologija ni dosti napredovala, se je drastično povečalo število letal na nebu, in ker je radarska tehnologija zastarela, se ji življenjska doba počasi izteka. Za potrebe obvladovanja vedno večjega povpraševanja po globalnem potovanju po zraku so potrebne spremembe in tehnološke nadgradnje nadzornih sistemov. Kot alternativa oziroma zamenjava za tradicionalni radar se je pojavil protokol ADS-B sistem za samodejno oddajanje nadzornih podatkov. Kot navaja FAA, je tehnologija ADS-B ključnega pomena, saj zamenjuje stare radarske sisteme z naprednim sistemom globalnega pozicioniranja. ADS-B v realnem času oddaja podatke o letalu, med drugim tudi o lokaciji, pridobljene preko sistema GPS, in jih posreduje do ostalih letal in zemeljskih postaj v območju (FAA, 2012). FAA in evropski Eurocontrol sta ADS-B poimenovala naslednik radarja. V preteklosti je kontrola zračnega prometa temeljila na SSR-radarju in tako pridobivala identiteto in višino letala. S tehnologijo ADS-B vsak udeleženec v zračnem prometu pridobiva svoj položaj in hitrost z uporabo GPS-sprejemnika na krovu. Te in druge informacije, kot so identifikacija, namen leta in kode za nujne primere, se redno oddajajo v obliki sporočila preko podsistema za oddajanje, imenovanega ADS-B-OUT. Ta sporočila se običajno pošiljajo v frekvenci dvakrat na sekundo. Oddajana sporočila sprejemajo in obdelujejo tako kontrole zračnega prometa kot tudi bližnja letala, opremljena s sprejemnim podsistemom ADS-B-IN. Vsako letalo, opremljeno z ADS-B, samodejno začne zaznavati in oddajati podatke, ko se letalo začne premikati (Strohmeier et al., 2014). 11

18 Obstajata dva konkurenčna standarda za podatkovno povezavo ADS-B, in sicer UAT (Universal Access Transceiver) in 1090ES. UAT uporablja 978 MHz frekvenco in je bil ustvarjen posebej za uporabo v letalske namene. Ker UAT za delovanje zahteva novo strojno opremo, se trenutno uporablja samo za splošno letalstvo v zračnem prostoru, s katerim upravljata FAA in Eurocontrol. Komercialno letalstvo pa uporablja prenovljene različice tradicionalnega protokola Mode S, ki ga uporabljajo SSR-radarji. Gre za prej omenjeni protokol 1090ES, ki deluje na 1090 MHz frekvenci in je kombinacija ADS-B in Mode S oz. tradicionalnega SSR-radarja (Strohmeier et al., 2014). ADS-B letalom in kontrolorjem omogoča samodejno oddajanje informacij vsako sekundo, brez pilotovega posega, v rednih časovnih intervalih in z višjo stopnjo natančnosti kot radar. Za določanje položaja in vektorja hitrosti letala je ADS-B odvisen od GPS-tehnologije. Nadzor se uporablja za določitev natančnega položaja letala, medtem ko s pomočjo oddajanja ostala letala in kontrolorji zračnega prometa, opremljeni s tehnologijo ADS-B, sprejemajo te informacije. Poleg vsega pa razdalja med letom in zemeljsko postajo nima nobenega vpliva na natančnost pridobljenih podatkov (FAA, 2010a). ADS-B zagotavlja dve vrsti storitev, in sicer podatkovni povezavi ADS-B-IN in ADS-B-OUT. Del ADS-B-OUT je odgovoren za oddajanje sporočil z letala preko oddajnika na krovu do zemeljskih postaj in ostalih letal v območju, opremljenimi z ADS-B-IN. Oddajana sporočila vsebujejo podatke, kot so podatki o letu, lokaciji, hitrosti in potovalni poti, ter so prikazana na zaslonu kontrolorja zračnega prometa. ADS-B-IN sprejema informacije z zemeljskih postaj in ostalih letal ter vse skupaj prikazuje osebju v pilotski kabini ali kontrolnem stolpu. Funkcionalnost sistemov ADS-B-IN in ADS-B-OUT letalskemu osebju omogoča delo z zelo natančnimi in podrobnimi podatki (FAA, 2010a). Sistem ADS-B preko radijskega oddajnika oddaja digitalna sporočila na dveh različnih frekvencah, in sicer 1090 MHz in 978 MHz. Za komercialna letala, ki letijo nad 5500 m nadmorske višine, sta zahtevana uporaba oddajnika extended squitter (ES) in oddajanje na frekvenci 1090 MHz, kar je tudi standard za ADS-B OUT, ki ga je odobrila mednarodna organizacija za civilno letalstvo (ICAO). Oddajanje na frekvenci 978 MHz v kombinaciji z UAT je uporabljeno v splošnem letalstvu in zahtevano za letala, ki letijo pod 5500 m (FAA, 2010a). 12

19 5 Znane ranljivosti in grožnje sodobnemu letalstvu Moderna letalska omrežja imajo pomanjkljivosti, ki jih lahko zlonamerni ljudje kaj hitro izkoristijo in tako manipulirajo s sistemi in podatki. V nadaljevanju bomo predstavili nekaj ranljivosti, groženj in potencialnih napadov na moderni letalski sistem, ki smo ga opisovali v prejšnjih poglavjih. 5.1 Pasiven napad Ker so sporočila, ki se pošiljajo preko sistema ADS-B, nešifrirana, lahko napadalec preprosto dostopa do njihove vsebine in tako pridobi natančne podatke o letalu in položaju leta. Schäfer, Lenders in Martinovic (2013) v svoji analizi napadov na sistem nadzora zračnega prometa naslednje generacije navajajo, da aktivni napadi večinoma temeljijo na podatkih, pridobljenih od pasivnih prisluškovalcev. Zbiranje podatkov je pogosto prvi korak, vključen v aktiven napad. Z združevanjem podatkov, pridobljenih s prisluškovanjem sporočilom ADS- B, in drugimi javno dostopnimi podatki lahko napadalci pridobijo dovolj informacij, na podlagi katerih lahko sprožijo usmerjen napad. 5.2 Aktiven napad Aktivni napadi lahko predstavljajo resno grožnjo varnosti zračnega prometa. Tovrstni napadi temeljijo predvsem na treh osnovnih tehnikah, in sicer vrivanju, izbrisu in spreminjanju podatkov. V nadaljevanju bomo predstavili nekaj potencialnih napadov, ki ogrožajo varnost letalskega prometa Lažno letalo na pilotovem zaslonu Ker letalski sistem ne vsebuje mehanizmov za preverjanje pristnosti prejetih sporočil, lahko 13

20 napadalec z izvedbo tega napada vrine podatke navideznega letala v komunikacijo ADS-B. Zaradi tovrstnega zlonamernega dejanja se na zaslonu v pilotski kabini pojavi letalo, ki v resnici ne obstaja (t. i. ghost plane ) (McCallie, Butts, in Mills, 2011). Tarča tovrstnega napada je lahko katerokoli letalo, opremljeno s sprejemnikom ADS-B. Za napadalca je pomembno, da ima lažno letalo realne podatke, ki se ne razlikujejo bistveno od pristnih letal, in tako naredi lažno letalo čim bolj realistično, s čimer prepreči sum zlonamernega dejanja. Takšno navidezno letalo se lahko pojavi tako v zraku kot tudi na letaliških površinah in tako povzroča zmedo. Ranljivost se še toliko bolj poveča ob slabi vidljivosti, ko se piloti zanašajo predvsem na instrumente, ki jih imajo na voljo. Dejanje v večini primerov neposredno ne bi povzročilo nesreče, lahko pa zaradi zmede vodi do napačnih odločitev pilotov, kar ima lahko smrtonosne posledice (Schäfer, Lenders, in Martinovic, 2013). Napad prizadeva zaupnost in celovitost sporočil ADS-B. Izvedljiv je s prestrezanjem in vrivanjem sporočil ADS-B-OUT in zadeva zgolj komunikacijo v zraku. Napad je najnevarnejši, kadar je navidezno letalo usmerjeno neposredno v ciljno letalo, saj izzove pilotovo takojšnje ukrepanje Lažno letalo na kontrolorjevem zaslonu Napad je podoben prejšnjemu, le da je v tem primeru tarča zemeljska postaja. Napadalec vrine lažno letalo na zaslon kontrole zračnega prometa. Ustvariti mora 112-bitno sporočilo, ki ima značilnosti legitimnega prometa na zaslonu kontrolorja zračnega prometa (McCallie et al., 2011). Tarča tovrstnega napada je lahko katerakoli zemeljska postaja, ki sprejema sporočila ADS-B. Tudi v tem primeru se lahko lažno letalo pojavi tako na letaliških površinah kot v zraku (Schäfer et al., 2013). Tovrstni napad prizadeva zaupnost in celovitost sporočil ADS-B in zadeva talno komunikacijo in komunikacijo zrak zemlja. Izvedljiv je z metodo prestrezanja in vrivanja sporočil v komunikacijo. Takšen napad poveča obremenitev kontrolorjev zračnega prometa in lahko povzroči posredovanje napačnih navodil. 14

21 5.2.3 Poplavljanje z lažnimi letali Napad poplavljanja z lažnimi letali temelji na istih metodah kot prejšnja, le da tu pride do vrivanja več lažnih navideznih letal hkrati. Namen je zavrnitev storitve oziroma DoS napad na sistem za kontrolo zračnega prometa. V primerjavi z vrivanjem posameznih letal je ta napad očiten. Kontrolorji zelo težko razlikujejo med navideznimi in resničnimi letali. V primeru takega incidenta je upravljanje z zračnim prometom brez dodatnih nadzornih tehnologij nemogoče (Schäfer et al., 2013). Po navedbah nekdanjega predsednika avstralske uprave za civilno letalstvo Dicka Smitha naj bi bili hekerji zmožni v nadzorni sistem zračnega prometa vriniti tudi do 50 lažnih letal zgolj z uporabo letalskega oddajnika, prenosnega računalnika in poceni antene (Wood, 2006). Ker ima vsak sistem omejene zmogljivosti, lahko v primeru več lažnih letal pride tudi do preobremenitve sistema za nadzor zračnega prometa. Napad prizadeva celovitost in razpoložljivost ter zadeva talno komunikacijo in komunikacijo zrak zemlja Navidezna sprememba smeri Namen te vrste napada je sprememba usmeritve obstoječega letala, ki oddaja podatke o položaju letala prek sistema ADS-B. Napad se lahko izvede na dva načina, in sicer s tehniko izbrisa in nato vrivanja novega sporočila ali s spremembo obstoječega. Prva možnost izbriše vsa poročila o položaju letala in jih zamenja z rahlo spremenjenimi, druga pa spreminja trenutna sporočila (Strohmeier et al., 2014). Z natančnimi spremembami lahko napad na prvi ali drugi način ostane neopazen in vodi v napačne odločitve kontrolorjev ter zakasnitve delovanja sistema za preprečevanje trčenja (Schäfer et al., 2013). Tovrstni napad prizadeva zaupnost in celovitost sporočil ADS-B in je lahko usmerjen tako na zemeljske postaje kot tudi letala. Zaradi kombinacije dveh metod je izvedba napada kompleksnejša Napad z lažnim alarmom Tako kot pretekli letalski sistemi tudi sistem ADS-B zagotavlja mehanizme, ki naznanjajo 15

22 nujne primere ali nezakonite posege. V primeru sprožitve se v nadzornem sistemu pojavi alarm s šifro nevarnosti. Pri tem napadu napadalec sistem izkoristi tako, da v nadzornem sistemu sproži alarm, ki pa ga ni sprožil nihče od posadke (Schäfer et al., 2013). Sproži se torej lažni alarm, kar napadalec doseže podobno kot pri navidezni spremembi smeri. Uporabi lahko metodo izbrisa in ponovnega vnosa novega sporočila ali metodo spremembe obstoječega sporočila (Strohmeier, Lenders, in Martinovic, 2015). Lažni alarm v večini primerov ne bi povzročil kritičnih situacij, razen ko gre za alarm z resnejšimi kodami, kot je ugrabitev, kar bi usmerilo pozornost odgovornih na ciljno letalo in povečalo njihovo delovno obremenjenost ter lahko vodilo v napačne odločitve z resnimi posledicami. Dejanje posega v zaupnost in celovitost sporočil ADS-B ter zadeva zemeljsko komunikacijo in komunikacijo zemlja zrak Napad z zavrnitvijo storitev zemeljske postaje Napad z zavrnitvijo storitev zemeljske postaje povzroča motnje pri prenosu signalov zemeljske postaje. Napadalec lahko z uporabo preproste motilne naprave v bližini zemeljske postaje blokira signale ADS-B, namenjene ciljni postaji. Napad ni usmerjen in blokira vse signale ADS-B, namenjene zemeljski postaji, v bližini katere je motilna naprava (McCallie et al., 2011). Neprestano motenje komunikacije povzroča veliko izgubo sporočil. Kontrola zračnega prometa, ki temelji na sistemu ADS-B, zaradi izpada komunikacije ne more več zagotavljati svojih storitev. Na območju z visoko frekvenco poletov, na primer okoli glavnih mednarodnih letališč, nenadno odpoved nadzornih sistemov kontrolorji opišejo kot zelo resno grožnjo, ki lahko povzroči veliko zmedo in človeške napake s smrtonosnimi posledicami (Schäfer et al., 2013). Napadalec s tovrstnim početjem prisili kontrolo zračnega prometa, da preklopi na druge, manj učinkovite in manj natančne metode za upravljanje in nadzor. Zaradi lahkega dostopa do zemeljske postaje in dostopnosti opreme, potrebne za motenje signala, takšen napad sodi med lažje izvedljive. Napad posega v razpoložljivost sporočil ADS-B, saj lahko povzroči tudi izginotje vseh letal, ki jih pokriva ciljna zemeljska postaja. Situacijska ozaveščenost je v tem primeru zelo ogrožena in letala so izpostavljena nevarnostim. 16

23 5.2.7 Izginotje letala Izpad sistema za preprečevanje trčenja in zmede lahko povzroči tudi izbris vseh sporočil ciljnega letala. S tem napadalec preprečuje, da bi letalo zaznala zemeljska postaja ali drugo letalo, ki sprejema signale ADS-B. Če napad ostane neodkrit, lahko zaradi nerealne slike na zaslonih zmanjšuje situacijsko ozaveščenost pilotov in kontrolorjev ter povzroči, da letalo ni zaščiteno z zaščitnimi mehanizmi, vključno s sistemom za preprečevanje trčenja, kar ima lahko resne posledice (Schäfer et al., 2013). Napadalec ni omejen zgolj na eno letalo, temveč lahko povzroči izginotje tudi več letal hkrati, kar še dodatno poveča resnost situacije in možne posledice. Napad vpliva na zaupnost, celovitost in razpoložljivost sporočil ADS-B ter zadeva komunikacijo na zemlji, v zraku in komunikacijo zrak zemlja. Začne se s prisluškovanjem in prestrezanjem sporočil ADS-B-OUT, izvaja pa se s tehniko izbrisa. Omenjene ranljivosti pri nadzoru in komunikaciji na tleh in v zraku večinoma nastajajo zaradi odvisnosti sistemov od celovitosti in razpoložljivosti podatkov ADS-B, ki se prenašajo preko javno dostopne skupne komunikacije. Za ustvarjanje groženj lahko nasprotnik izkoristi omenjene ranljivosti in poskuša namerno izzvati napake pri nadzoru zračnega prometa s povzročanjem motenj GPS-signala ali s spreminjanjem, motenjem in blokiranjem pretoka podatkov ADS-B. Takšno početje ustvarja okoliščine, ki zelo negativno vplivajo na natančnost in zmožnost sistemov, ki so odgovorni za učinkovito vodenje letalskega prometa. Poleg ogrožanja delovanja sistema za nadzor in upravljanje zračnega prometa s tem ogrožajo tudi letala, osebje in potnike. 17

24

25 6 Presoja kibernetske varnosti sodobnih nadzornih sistemov zračnega prometa Internet je v zadnjih letih omogočil uvedbo med seboj povezanih in soodvisnih sistemov ter s tem tudi veliko varnostnih izzivov za svetovno letalstvo. Očitno je, da se tveganja v kibernetski varnosti povečujejo in da grožnje informacijski tehnologiji postajajo vse bolj prefinjene (Sampigethaya in Poovendran, 2011). Storilci kaznivih dejanj neprestano iščejo načine za dosego nezakonitega cilja. Čeprav je v nekaterih sistemih za varnost dobro poskrbljeno, pa ta nikjer ni stoodstotna. Posledice nezakonitih dejanj v kibernetskem prostoru vplivajo predvsem na zaupnost, celovitost in razpoložljivost podatkov in informacij. Kompleksni sistemi zahtevajo varnost na različnih ravneh, tako fizičnih kot logičnih. NextGen je opredeljen kot sistem sistemov, ki zahteva ustrezne varnostne standarde na vseh ravneh, sicer lahko šibkost na eni ravni ustavi delovanje celotnega sistema NextGen. Če je varnost zanemarjena na katerikoli ravni sistema, lahko napadalec v sistemu izvaja zlonamerne dejavnosti (Atanasov in Chenane, 2013). Sistem nadzora zračnega prostora naslednje generacije ne vsebuje nikakršnih varnostnih mehanizmov, ki bi ščitili zaupnost, celovitost in razpoložljivost podatkov, ki se izmenjujejo med letali in nadzornimi stolpi. Kot rezultat pomanjkljive zaščite teh treh lastnosti, najpomembnejših za informacijsko varnost, pa lahko napadalec v komunikacijo vriva lažne podatke ali preprečuje pravilno prikazovanje legitimnih podatkov. Takšna dejanja lahko imajo uničujoče posledice v sistemu zračnega prometa. 6.1 Zaupnost Ko nepooblaščena oseba prestreže izmenjavo podatkov med pošiljateljem in prejemnikom, je rezultat znan kot izguba zaupnosti. Podatki ADS-B (npr. številka leta, položaj letala, 24- bitni naslov letala itd.) se prenašajo po omrežju brez enkripcije ali kakršnegakoli mehanizma za preverjanje pristnosti (Atanasov in Chenane, 2013). Ker je način sistema ADS-B nenehno 19

26 in odkrito oddajanje podatkov, je izguba zaupnosti v tem primeru popolnoma očitna. Zaradi pomanjkanja enkripcije so ti podatki na voljo vsem z opremo ADS-B, tudi zlonamernim ljudem. 6.2 Celovitost Ko nepooblaščena oseba podatke med prenosom spremeni, namerno ali nenamerno, je pojav opredeljen kot izguba celovitosti podatkov. Celovitost podatkov je pri nadzoru zračnega prometa pomemben atribut, saj bi v primeru necelovitih podatkov piloti in kontrolorji prejemali napačne informacije, ki jih lahko vodijo v napačne odločitve (Atanasov in Chenane, 2013). Sistem ADS-B podatke izmenjuje med dvema različnima napravama in celovitost je lahko ogrožena med katerimkoli prenosom. Namen sporočil ADS-B je posredovanje informacij tako drugim letalom kot tudi zemeljskim postajam. Zaradi pomanjkanja funkcije preverjanja pristnosti lahko brez vedenja drugih napadalec sporočila prestreže in spremeni (Sampigethaya in Poovendran, 2010). Sporočila ADS-B sicer vsebujejo mehanizem za preverjanje pristnosti, imenovan CRC (Cyclic Redundancy Code), ki pa, kot so dokazali v raziskavi Schäfer et al. (2013), v primeru izgube celovitosti sporočila ne proizvaja nikakršnih ukrepov, s katerimi bi sistem lahko takšno sporočilo izločil. Tako je ADS-B kljub temu še vedno dovzeten za spreminjanje sporočil, ki se prenašajo med letali in zemeljskimi postajami. 6.3 Razpoložljivost V arhitekturi, kjer poteka izmenjava in obdelava informacij med različnimi sistemi, je razpoložljivost zelo pomembna, saj odpoved določenega sistema lahko vpliva tudi na ostale, od njega odvisne sisteme. Ker je letalski sistem NextGen nasploh opredeljen kot sistem sistemov, je razpoložljivost v letalstvu eden najpomembnejših atributov (Atanasov in Chenane, 2013). Razpoložljivost sistema je odvisna od možnosti povzročanja motenj zaradi namernih ali 20

27 nenamernih dejanj. Ker je sistem ADS-B dovzeten za motnje, je vprašljiva tudi razpoložljivost sistema za nadzor zračnega prometa naslednje generacije. Dovzetnost za motnje tako signalov GPS kot ADS-B ustvarja ranljivost, zaradi katere je mogoče motiti komunikacijo in zavračati storitve za določeno časovno obdobje (Purton, Abbass, in Alam, 2010). Učinek povzročanja motenj je lahko še bolj kaotičen, če se jih izvaja na več različnih lokacijah ob istem času, kar bi povzročilo večje motnje v sistemu nadzora letal in letališč, ki uporabljajo ADS-B. Poleg tega lahko napadalec posreduje neobvladljivo količino sporočil in s tem preobremeni komunikacijo. Preobremenitev se nanaša na obdelavo podatkov zemeljske postaje in predstavlja grožnjo, ki lahko popolnoma onemogoči funkcionalnost zemeljske postaje (International Civil Aviation Organization, 2014). Kot velja, da je razvoj na področju informacijske tehnologije marsikatero zadevo pospešil in olajšal, velja tudi, da se z njim pojavlja vse več groženj. Grožnje se pojavljajo tako v informacijskem okolju kot tudi na specifičnem področju kibernetske varnosti v civilnem letalstvu. V tem poglavju smo preučili varnost sodobnega načina nadzora zračnega prometa skozi tri najpomembnejše vrednote informacijske varnosti, in sicer zaupnost, celovitost in razpoložljivost podatkov. Pojem zaupnost v našem primeru izgubi svoj pomen zaradi neprisotnosti kakršnekoli enkripcije med prenosom podatkov, kar pomeni, da so ti na voljo vsem z ustrezno opremo ADS-B. Področje celovitosti sicer vsebuje nekakšen mehanizem za preverjanje pristnosti, ki pa je glede na raziskavo Schäfer et al. (2013) popolnoma neučinkovit. Prav tako pa je ogrožena razpoložljivost podatkov, in sicer zaradi dovzetnosti za motnje tako signalov GPS kot ADS-B. 21

28

29 7 Možne rešitve Nekatere tehnike za zmanjševanje tveganj se v komercialnem letalstvu že uporabljajo ter zadevajo različne pomanjkljivosti in sloje sistema, toda za zdaj še ne obstaja metoda zaščite, s katero bi lahko zavarovali vse varnostne luknje naenkrat (Šolar, 2015). V nadaljevanju bomo predstavili nekaj potencialnih rešitev za posamezna področja, ki so jih predstavili različni avtorji. 7.1 Kriptografija Komunikacijo med letali in kontrolo zračnega prometa je mogoče zaščititi z uporabo kriptografije. Uporaba kriptografskih ključev ponuja učinkovite rešitve za zaščito zaupnosti, celovitosti in razpoložljivosti podatkov (Sampigethaya, Poovendran, Shetty, Davis, in Royalty, 2011). Vendar pa uporaba simetrične kriptografije od letal in zemeljskih postaj zahteva, da vnaprej delijo skrivnost (ključ), kar predstavlja velik izziv pri sistemu uporabljanja ključev, zlasti pri zelo natrpanih sistemih zračnega prometa (Sampigethaya, Poovendran, in Bushnell, 2010). Šifriranje sporočil poteka podobno kot avtentikacija, s tem da pri kriptografiji podatki iz sporočila niso razumljivi za nepooblaščene udeležence v komunikaciji. Udeleženec, ki želi podatke poslati samo določenim udeležencem, jih pošlje skozi šifrirni algoritem in pri tem uporabi svoj skrivni ključ. Sprejemnik mora nato v bazi ključev poiskati pošiljateljev ključ. Najden ključ se nato uporabi v dešifrirnem algoritmu, s katerim prejemnik pridobi podatke iz sporočila. Drugi nepooblaščeni udeleženci pa brez skrivnega ključa sporočila ne morejo dešifrirati (Valovage, 2007). Omejitve pri uporabi metode predstavlja velikost šifriranega sporočila. Minimalna velikost šifrirnega ključa je 1024 bitov, tipična velikost sporočila pri uporabi npr. sistema UAT pa 274 bitov. Torej je pri uporabi kriptografije posledično vsako sporočilo ADS-B veliko vsaj 1024 bitov, zaradi česar kriptografija sporočil ADS-B vodi v občutljive razširitve velikosti sporočila v primerjavi s prvotno količino podatkov. Poleg tega preprosta uporaba 23

30 kriptografije za preprečevanje zlorab podatkov ADS-B pomeni kršitev prvotnega namena zasnove sistema ADS-B, saj javnost ne bi imela dostopa do šifriranih podatkov (Ziliang, Weijun, in Yang, 2010). 7.2 Avtentikacija Kot je znano, enkripcija sporočila spremeni, preverjanje pristnosti oz. avtentikacija pa sporočila ohranja v prvotni obliki (dodaja le podatke za preverjanje pristnosti). Sprejemnik ADS-B sam ni zmožen prepoznati, ali so prejeti signali ADS-B iz legitimnega letala ali napadalčevega ponarejenega navideznega letala, zato bomo v nadaljevanju predstavili tehniko MAC Message Authentication Code, ki bi lahko bila potencialni pristop k varnejši komunikaciji ADS-B in učinkovitemu preverjanju pristnosti sporočil ADS-B MAC Message Authentication Code MAC so kratka sporočila, ki so s pomočjo posebnih algoritmov za ustvarjanje MAC izpeljana iz daljših sporočil. Kode so običajno priložene daljšemu sporočilu in nato v paru posredovana naprej ter omogočata takojšnje preverjanje pristnosti (Wesson, Humphreys, in Evans, 2014). Koda, imenovana hash, se ustvari na podlagi podatkov iz sporočila in skrivnega ključa, ki je znan zgolj legitimnim udeležencem komunikacije. Pri sprejemniku gre izvirno sporočilo ponovno skozi isti algoritem, znova z uporabo podatkov iz sporočila in skrivnega ključa (Valovage, 2007). Če algoritem ustvari enak rezultat, lahko sklepamo, da je sporočilo pristno in izhaja iz legitimnega vira. Pri implementaciji v sistem ADS-B se sporočilo s priloženim skrivnim ključem, ki ga ustvari algoritem MAC, prosto pošlje vsem udeležencem. Tisti, ki jim je varnost pomembna, lahko na podlagi MAC, priložene izvirnemu sporočilu, in svojega zasebnega ključa, preverijo njegovo pristnost. Uspešno preverjanje sporočila s priloženo MAC prejemniku zagotavlja, da sporočilo ni bilo manipulirano in da so podatki v njem pristni (Valovage, 2007). Omenjena metoda se lahko uporablja med letali in med letali in zemeljskimi postajami. 24

31 Slabost tehnike se kaže v tem, da bi uporaba povečala dolžino sporočila in s tem tudi možnost motenj pri prenosu. Potencialna rešitev za odpravo težave z velikostjo paketa je tako imenovana metoda lightweight, kjer se namesto pripenjanja celotne MAC enemu izvirnemu sporočilu ta porazdeli na več izvirnih sporočil (Wesson et al., 2014). V tem primeru letalo prenaša bite podpisa z vsakim sporočilom ADS-B. Po vsakem ciklu določenega števila prejetih sporočil z določenega letala lahko prejemniki sestavijo njegov podpis oziroma MAC. Dokler ključ ni popolnoma sestavljen, prejetim sporočilom ni mogoče v celoti zaupati. Kljub temu pa letala v okolici nepreverjena sporočila obdržijo za kasnejše preverjanje in gradnjo časovnega in prostorskega okvira. Kasneje se lahko z vsemi zbranimi podatki preverjata ustreznost sestavljenega ključa oziroma MAC in pristnost podatkov, prejetih iz določenega vira (Costin in Francillon, 2012). Slabost tega lažjega pristopa je zamik med prenosom izvirnega sporočila in njegove MAC, zaradi česar sporočil ni mogoče preveriti takoj. Dodatno stopnjo varnosti je mogoče doseči s prenosom naključne kode pošiljatelju pred prenosom dejanskega sporočila, ki je nato vključena v MAC algoritem. Tako je vsak nelegitimen udeleženec v komunikaciji, ki poskuša sistem prevarati z beleženjem prejšnjih sporočil (napad s ponovnim pošiljanjem preteklih sporočil), izločen iz komunikacije zaradi neujemanja dodatne, prej prenesene varnostne kode (Valovage, 2007). Omenjene tehnike sicer ne zagotavljajo zaupnosti podatkov, kot to zagotavlja enkripcija, zagotavljajo pa njihovo celovitost. Prednost avtentikacijskih metod se kaže tudi v tem, da so podatki še vedno vidni vsem udeležencem, kljub temu ali se preverjanje pristnosti izvaja ali ne, in tako se ohranja temeljna odprtost sistema ADS-B. 7.3 Multilateracija Preverjanje lokacije je mogoče opravljati z multilateracijo oziroma poznavanjem natančne razdalje med vsaj tremi zemeljskimi postajami. Vsaka postaj prejme enak signal z različnim časom prihoda, na podlagi česar je mogoče izračunati lokacijo letala, ki signal oddaja (Šolar, 2015). Lokacija preverjenega letala se nahaja v presečišču krogov, pri katerih je razdalja od 25

32 oddajnika signala do določene zemeljske postaje polmer (Sampigethaya et al., 2010). Multilateracija ima lahko v nekaterih primerih tudi nekaj slabosti, saj lahko napadalec na primer s povzročanjem motenj na določeni lokaciji zakasni signale iz letala. Motnje lahko osredotoči tudi na sinhronizacijo ure zemeljske postaje in tako povzroči napačne izračune. Kot rezervna možnost se lahko za multilateracijo uporabi tudi primarni nadzorni radar. Za preverjanje lokacije med letali se lahko uporablja tehnika skupinskega preverjanja v povezavi s sistemom ADS-B-IN. Izvaja se enak postopek multilateracije kot pri zemeljskih postajah, le da se v tem primeru lokacijo izračunava iz časa prihoda signala do sprejemnika ADS-B-IN zaupanja vrednih letal v okolici (Šolar, 2015). Pravijo, da kjer so problemi, tam so rešitve. Lahko rečemo, da to v določeni meri velja tudi tukaj, čeprav bodo morale razne organizacije in strokovnjaki na različnih področjih še temeljito delati. Predhodno smo opisali določene okvirne ukrepe in potencialne rešitve, na podlagi katerih bi lahko dosegli sprejemljivo stopnjo varnosti. Prva metoda, torej metoda kriptografije, zaščiti zaupnost podatkov tako, da jih naredi nerazumljive nepooblaščenim osebam oziroma osebam brez dešifrirnega ključa. Pojavita pa se vsaj dva problema učinkovitosti kriptografije za zaščito tovrstne komunikacije. Prvi nastane v zvezi z velikostjo šifriranega sporočila, ki je za več kot trikrat večje od velikosti čistopisa. Poleg tega, kot že omenjeno, kriptografija spremeni sporočila v nejasna, s čimer bi kršili prvotni namen tehnologije ADS-B, po katerem naj bi bili podatki ADS-B dostopni vsem. Z drugo metodo, torej avtentikacijo, je mogoče zaščititi celovitost podatkov. Znotraj avtentikacije smo v naši nalogi predstavili tehniko MAC in t. i. lightweight MAC. Te tehnike ne spreminjajo sporočila in s tem ne kršijo prvotnega namena, še vedno pa zagotavljajo celovitost. Razpoložljivost določenih podatkov je mogoče ohraniti z zadnjo omenjeno metodo, multilateracijo, ki predstavlja neke vrste rezervni načrt za določanje položaja letala. Področje torej zahteva še ogromno dela in napredka, določene potencialne metode že obstajajo, treba pa jih je izpopolniti in prilagoditi zahtevam letalskih sistemov in civilnega letalstva. 26

33 8 Razprava in zaključek Na današnjem visokokonkurenčnem trgu letalskega prometa je med komercialnimi letalskimi družbami vse več povpraševanja po sodobnih letalskih sistemih, aplikacijah in možnostih za povečanje zaslužka in zadovoljstva potnikov. To je v kombinaciji z rastočo infrastrukturo podatkovne komunikacije po vsem svetu, obdelavo informacij preko omrežja in razvijajočo se strojno opremo letalsko industrijo pripeljalo na prag novega obdobja, obdobja popolnoma omrežno podprtih oziroma e-enabled letal. E-enabled letala so z omogočanjem hitrega napredka v sistemih zračnega prevoza naslednje generacije v civilnem letalstvu opredeljena kot revolucionaren dosežek. Izboljšana komunikacija, navigacija in nadzorni sistemi bodo izboljšali učinkovitost in situacijsko ozaveščenost. Kot obljubljeno naj bi e-enabled letala zagotavljala osnovo za izboljšave na področju udobja potnikov, predvidljivosti urnikov, vzdrževanja in operativne učinkovitosti, varnosti letenja in še mnogih drugih, zaradi česar so pričakovanja letalskih podjetij v komercialnem letalstvu izredno optimistična. Medtem ko mnoge od teh novih funkcij letala za nekatere sodobne uporabnike interneta ne predstavljajo nič novega in posebnega, pa omrežne povezave, potrebne za delovanje teh funkcij, tako na kot izven letala za letalske družbe in njihove dobavitelje predstavljajo pomembne tehnične in operativne izzive. Eden od ključnih izzivov je prav informacijska varnost. Poleg vseh prednosti uporaba brezžičnih tehnologij prinaša tudi svoje ranljivosti in varnostne grožnje. Ko vse več letal uporablja vse več računalniškega obdelovanja informacij in omrežne povezljivosti ter postanejo povezana z zunanjimi omrežnimi okolji, se začnejo odpirati možnosti za napade na informacijsko varnost. Kljub temu regulatorne institucije informacijske varnosti, potrebne za sodobna komercialna letala, še vedno niso obravnavale sistematično. Da je teorija kibernetske varnosti znotraj civilnega letalstva vredna temeljitega raziskovanja, sklepamo iz besed avtorjev, povzetih v začetku diplomske naloge, ki navajajo že pojavljajoče se kibernetske incidente, ustanavljajoče se posebne enote za boj proti kibernetski kriminaliteti in negativno plat spleta v povezavi s kibernetsko kriminaliteto in 27

34 terorizmom. V nadaljevanju bomo natančneje povzeli že pridobljene ugotovitve diplomske naloge z dejanskimi grožnjami na specifičnih področjih, in sicer v tehniki, infrastrukturi, uporabnikih in spremljajočih se dejavnostih. Za letala oziroma področje tehnike je prvi varnosti problem v komunikaciji. Tehnologija NextGen, opisana v tretjem poglavju, s katero so želeli in tudi so olajšali prenos informacij med letali in zemeljskimi postajami, na drugi strani predstavlja večje varnostne grožnje, saj je govorna komunikacija nadomeščena s podatkovno, ki je za napadalce veliko ugodnejša za zlonamerne dejavnosti. Hkrati pa omenjena tehnologija povezuje več zunanjih strank, ki so jim podatki tako rekoč na dlani. Naslednja so e-enabled letala, ki nudijo stalen prenos podatkov o letalu, navigaciji, upravljanju in vzdrževanju. Vsi podatki se prenašajo preko sistema ADS-B, ki samodejno, brez pilotovega vpliva oddaja in prejema te podatke. Piloti in kontrolorji so rešeni govorne komunikacije, pojavi pa se večje varnostno tveganje na področjih kibernetske varnosti in varnosti pretoka podatkov. Ker omenjeni sistemi ne vsebujejo nikakršnih varnostnih mehanizmov za zaščito teh občutljivih podatkov, lahko hitro pride do negativnih vplivov. Pri tovrstni komunikaciji lahko zlonamerni ljudje bodisi s pasivnimi ali aktivnimi napadi, ki smo jih opisali v petem poglavju diplomske naloge, ogrožajo infrastrukturo civilnega letalstva in s svojimi dejanji izzovejo dogodke, ki lahko vodijo do grozovitih nesreč. Infrastruktura civilnega letalstva je v največji meri odvisna od potnikov. Vprašanje je, ali se mora zgoditi prvi večji incident na področju kibernetske varnosti v civilnem letalstvu ali se bo ustrezna zaščita implementirala prej in koliko napadov se mora zgoditi, da se bo pojavilo moralno vprašanje, morda celo panika v povezavi z zračnim prevozom in njegovo varnostjo v sodobnem svetu tehnologije. In ko se bo, kakšen vpliv bo to imelo na spremljajoče dejavnosti, na primer turizem. Za uspešno implementacijo ustrezne informacijske varnosti v letalstvo bo potrebno sodelovanje med letalskimi interesnimi skupinami (letalske družbe, proizvajalci letal, dobavitelji letalskih komponent, ponudniki letalskih storitev) ter strokovnjaki s področja informacijske varnosti in informacijske tehnologije. Treba je zagotoviti stopnjo informacijske varnosti, pri kateri se bo tveganje za zunanje in notranje grožnje zmanjšalo 28