Hacker kan vliegverkeer ontregelen
Een hacker op de jaarlijkse Defcon-conferentie demonstreert dat hackers chaos kunnen aanrichten in het luchtruim via een simpele ingreep.
Volgens VentureBeat vertelde hacker Brad Haines, alias Renderman, tijdens Defcon dat specifieke communicatie tussen vliegtuig en verkeersleiding zonder encryptie over en weer wordt gezonden.
Het gaat om Automatic Dependent Surveillance Broadcast (ADS-B) In en Out, twee systemen die voortdurend de positie bepalen van actieve vluchten, waardoor de verkeerstoren in de gaten kan houden waar vliegtuigen zich in het luchtruim bevinden. ADS-B maakt onderdeel uit van NextGen, dat radarsystemen voor het luchtverkeer, op den duur moet vervangen.
Haines ontdekte via de iOS-applicatie Planefinder AR dat er geen encryptie wordt toegepast op deze realtime-informatie, zodat alles en iedereen in de gaten kan houen waar vliegtuigen zich op dat moment bevinden. Een aantal websites hebben zich al gespecialiseerd in het opvangen van deze informatie, waar de app weer gebruik van maakt.
Horrorscenario’s
Omdat geen encryptie of authenticatie plaatsvindt bij ADS-B, zijn er in theorie allerlei horrorscenario’s mogelijk. Een hacker kan honderden extra stipjes op het scherm van de verkeerstoren vertonen, feitelijk een DDoS-aanval voor verkeerstorens. Maar hij kan piloten ook misleiden door ze te laten geloven dat ze op ramkoers liggen met een niet-bestaand vliegtuig.
Hoewel een hacker een vliegtuig niet direct kan laten neerstorten, is het wel degelijk mogelijk de vluchtleiding zodanig in de war te brengen dat die in paniek fatale beslissingen neemt. En het gereedschap om vliegtuigen mee te volgen via ADS-B wordt almaar goedkoper.
Open kans
Een Franse onderzoeker van het Franse onderzoeksinstituut Elecom kwam eind vorige week al naar buiten met de slechte beveiliging van ADS-B. “Het is in wezen een open kans voor elke aanvaller met gemiddelde technische kennis”, waarschuwde Andrei Costin van Elecom tijdens hackersconferentie Black Hat.
Forbes vroeg de Amerikaanse luchtvaartautoriteit (FAA) vlak voor Black Hat om een reactie. Die zegt dat het in staat is om malafide signalen te “storen” en verklaart verder bezig te zijn met doorlopend onderzoek naar mogelijke kwetsbaarheden. Maar het zegt ook dat het de oude radarsystemen achter de hand houdt “als back-up.”
Australië is inmiddels al geheel overgestapt naar ADS-B en de Verenigde Staten zijn van plan dit tegen 2020 te doen. Volgens CNN houdt Europa voorlopig vast aan zijn eigen positioneringssysteem, maar werkt het wel samen met de Verenigde Staten om de systemen met elkaar te laten praten.
Een hacker op de jaarlijkse Defcon-conferentie demonstreert dat hackers chaos kunnen aanrichten in het luchtruim via een simpele ingreep.
Volgens VentureBeat vertelde hacker Brad Haines, alias Renderman, tijdens Defcon dat specifieke communicatie tussen vliegtuig en verkeersleiding zonder encryptie over en weer wordt gezonden.
Het gaat om Automatic Dependent Surveillance Broadcast (ADS-B) In en Out, twee systemen die voortdurend de positie bepalen van actieve vluchten, waardoor de verkeerstoren in de gaten kan houden waar vliegtuigen zich in het luchtruim bevinden. ADS-B maakt onderdeel uit van NextGen, dat radarsystemen voor het luchtverkeer, op den duur moet vervangen.
Haines ontdekte via de iOS-applicatie Planefinder AR dat er geen encryptie wordt toegepast op deze realtime-informatie, zodat alles en iedereen in de gaten kan houen waar vliegtuigen zich op dat moment bevinden. Een aantal websites hebben zich al gespecialiseerd in het opvangen van deze informatie, waar de app weer gebruik van maakt.
Horrorscenario’s
Omdat geen encryptie of authenticatie plaatsvindt bij ADS-B, zijn er in theorie allerlei horrorscenario’s mogelijk. Een hacker kan honderden extra stipjes op het scherm van de verkeerstoren vertonen, feitelijk een DDoS-aanval voor verkeerstorens. Maar hij kan piloten ook misleiden door ze te laten geloven dat ze op ramkoers liggen met een niet-bestaand vliegtuig.
Hoewel een hacker een vliegtuig niet direct kan laten neerstorten, is het wel degelijk mogelijk de vluchtleiding zodanig in de war te brengen dat die in paniek fatale beslissingen neemt. En het gereedschap om vliegtuigen mee te volgen via ADS-B wordt almaar goedkoper.
Open kans
Een Franse onderzoeker van het Franse onderzoeksinstituut Elecom kwam eind vorige week al naar buiten met de slechte beveiliging van ADS-B. “Het is in wezen een open kans voor elke aanvaller met gemiddelde technische kennis”, waarschuwde Andrei Costin van Elecom tijdens hackersconferentie Black Hat.
Forbes vroeg de Amerikaanse luchtvaartautoriteit (FAA) vlak voor Black Hat om een reactie. Die zegt dat het in staat is om malafide signalen te “storen” en verklaart verder bezig te zijn met doorlopend onderzoek naar mogelijke kwetsbaarheden. Maar het zegt ook dat het de oude radarsystemen achter de hand houdt “als back-up.”
Australië is inmiddels al geheel overgestapt naar ADS-B en de Verenigde Staten zijn van plan dit tegen 2020 te doen. Volgens CNN houdt Europa voorlopig vast aan zijn eigen positioneringssysteem, maar werkt het wel samen met de Verenigde Staten om de systemen met elkaar te laten praten.