0x01 Avionic System

近几年来航运业和管控组织在完成安全系数层面十分慎重，比如在飞机的检测，维护保养和验证规定层面。

这类无处不在的安全性理论体系的2个关键层面，能够从航空员在飞行模拟器情景中的不断训炼、为她们在安全性重要状况下充分准备和飞机上的诸多无线通信技术中反映出去。它是为了更好地提升 航空员和空中交通操纵（ATC，air traffific control ）的入侵检测工作能力。

可是威协仍未从朝向安全性的设计方案中压根处理，该设计方案的立足点涉及到任意结构力学、电子器件或人为因素常见故障，而不是被总体目标故意毁坏的系统软件。类似旅客或航空员的基本安全性威协，假如攻击者可以再现无线 *** 航空公司电子控制系统的常见故障，则他们很有可能会对飞机的安全性造成巨大危害。

0x02 Cyber Security in Aviation

文中致力于导致毁坏的试着，而不是毁灭性危害。这包含使飞机改线飞到别的飞机场，过多避开方案线路或复飞，即在错过了进近（飞机降低指向运动场航行的全过程）后开展第二次试着。

选用规范的安全风险评估方式会遭遇很多挑戰。更先，航行硬件配置十分价格昂贵，无法独立应用，这促使现实世界的检测没法开展单独科学研究。殊不知，更关键的是，飞机驾驶员针对飞机的航行 *** 有着最后的权利，因而她们对进攻的反映可能造成从扩张危害到彻底缓解危害的普遍状况。

在包含航空员的进攻自然环境中执行了三种无线 *** 影响进攻，这种进攻是根据对三个与安全系数息息相关系统软件中的基础理论系统漏洞和现实世界中影响恶性事件剖析得到的，各自对于仪表盘降落系统软件（ILS，Instrument Landing System ），上空防滑系统软件（TCAS，Traffific Collision Avoidance System ）和地面迫近警示系统软件（GPWS，Ground Proximity Warning System ）。

0x03 GPWS

地面迫近警示系统软件是飞机“安全防护网”的基础构成部分，可出示预警信息信息内容，告之飞机太挨近地面，该系统软件有两个版本号-初始的GPWS和合拼了GPS和地形数据库查询升级的加强型GPWS（EGPWS）。 GPWS根据一系列感应器键入，出示了造成 与地面撞击状况的警报。它具备多种多样警报方式,文中致力于‘过多贴近地形’（excessive closure on terrain ）或称之为’ *** 2’（Model 2 ）。

*** 2中GPWS应用无线通信高度仪明确周边的地形贴近率（terrain closure rate），如圖无线通信高度器是电台广播持续波（FMCW）雷达探测，它在4200至4400 MHz的頻率扫描仪范畴内发送单脉冲。接受数据信号以测算高过地形的高度，也称之为高于地面水准（AGL，above ground level ）。其针对发送数据信号和接受到的反射面数据信号，在静态数据高度处的电台广播持续波（FMCW）雷达探测实际操作如下图，在其中?t是来回時间，而?f是频移。

*** 2有两个子模式A和B：

A关键在抬升和定速巡航全过程中处在激活状态，而B在贴近和降落全过程中处在激活状态。过多贴近地形会碰到响声警报，在其中最比较严重的是“地形地形，拉涨”（Terrain Terrain, Pull Up ）。GPWS被觉得是飞机驾驶员的高度优先选择警报。

攻击者致力于导致虚报警报，以对入侵检测造成不良影响并导致多余的复飞。結果飞机将迫不得已实行别的方式或转为到另一个飞机场。在这段时间，飞机将消耗附加然料，造成 耽误并提升航空员的劳动量。根据在最终进近时推送不正确的雷达探测单脉冲，攻击者使GPWS坚信地形贴近率大大的高过具体。当飞机挨近地面但在“安全性”范畴内时，这将开启“地形地形，拉涨”。

有二种方式能够开启此进攻。有目的性的进攻致力于根据传送4200 MHz至4400 MHz中间的頻率陡坡(Fequency Ramps )来仿真模拟地面的迅速贴近。该陡坡的倾斜度历经精心策划，可慢慢降低数据信号每一个頻率偏位的来回時间，进而导致快速接地面的近出现幻觉。

这必须根据无线通信高度仪对数据信号相位差开展一些预测分析，及其对扫描仪頻率的掌握，但它是规范化的。因为 *** 2的警报根据下降率，因而攻击者最少能够测算来回時间（RTT）的总体目标转变来开启警报。

比如，在500英尺AGL（~152.4 m）下为3000 ft / 分鐘（~15.4 m/s）降低将依据规范开启警报。应用一个简易实体模型，飞机在单脉冲全过程移动量忽略，大家运用了RTT在一秒全过程中的差别（即飞机以152.4 m AGL的速率转变，随后一秒钟后降低了15.4 m）。式子1得出RTT需要的转变，在其中trtt是RTT，h是离地面的高度，c是光的速度。这说明每一次来回的頻率必须不大的弹跳。

另一种方式是用雷达探测頻率范畴内的特殊頻率或任意頻率的很多数据信号对飞机开展洪洪泛。在这类状况下，无线通信高度仪的个人行为是不明的，因为它将接受不能预测分析的单脉冲，因而不会再对其开展进一步考虑到。

在大部分状况下，攻击者期待飞机实行防止碰地实际操作，即抬升至安全性高度。在文中计划方案中，这将造成 复飞。可是，在高过飞机场水准（AAL，above aerodrome level ）1000英寸下列且部位彻底明确的状况下，飞机驾驶员能够挑选不遵照此要求。

因此，攻击者将必须进近途径下边的一些定向天线才可以发送到无线通信高度仪。这种将由可以传送恰当调配单脉冲的SDR和手机软件出示。这类机器设备的价格便宜至1000美金。虽然攻击者能够远程控制那样的系统软件，可是硬件配置务必坐落于运动场周边。

布署工作能力在于飞机场的安全系数和外场尺寸。应用典型性的130节的降落速率，以700英寸/分鐘的规范速率降低，在距运动场起始点约1.7公里处，在离地面500英尺的高度上产生进攻。

0x03 TCAS

虽然上空交通管制通告以高精密对航线开展管理 *** ，但飞机最后仍很有可能比安全性范畴更近。这被称作分离出来损害（loss of separation），在最坏的状况下很有可能造成 上空撞击。

上空防滑系统软件（TCAS）出示了一种防止这类状况的方式 *** ，自1993年至今就已被规定在具备30个之上坐位的飞机上应用。

TCAS运用安裝在总体目标飞机上的C方式或S方式应答器来了解周边的飞机。在S方式下创建周边的飞机必须总体目标飞机监听S方式中“squitters”中的ID，这种ID是对根据地面的二次监控雷达探测（SSR，Secondary Surveillance Radar ）了解而得的回应信息。随后总体目标飞机能够了解这种ID，以测算周边的飞机是不是会越来越太近。方式S的抽象性协议书图能够下面的图a中见到。