Def Con 22: Flugexperten widerlegen Hacker-Mythen

Inhaltsverzeichnis

In einem vollgepackten Vortragsraum nahmen sich Dr. Phil Polstra und Captain Polly Kadolph – ein Hardware- und Flugexperte mit zwölf Fluglizenzen und eine ehemalige Pilotin von Passagiermaschinen und Professorin für Luftfahrt – während der Hackerkonferenz Def Con 22 der einzelnen Gerüchte an, die seit einiger Zeit rund um die Sicherheit des Flugverkehrs ins Kraut schießen. Zuletzt kamen merkwürdige Vermutungen über digitale Angriffe auf eine Maschine von außen auf, nachdem der Flug MH370 auf mysteriöse Weise verschwunden war.

Der Pilot hat immer das letzte Wort

Die Fachleute gaben den Zuhörern als erste Regel mit auf Weg, dass nichts und niemand Kommandos der Piloten außer Kraft setzen kann. Selbst wenn es einen unerlaubten Zugriff auf die Elektronik gäbe, die beispielsweise für die Steuerung zuständig ist, könne der Pilot dies korrigieren. Zudem haben auch hochmoderne Flugzeuge immer mechanische Backup-Systeme für alle relevanten Komponenten, die laut Dr. Polstra nicht hackbar sind. Schmunzelnd ergänzt er: „Das heißt aber nicht, dass sich Piloten noch daran erinnern können, wie sie mit diesen Instrumenten umgehen müssen.“

Zwar sei es den Fachleuten zufolge möglich, den Autopilot zu manipulieren. Ein Pilot habe aber neun verschiedene Wege, um Kommandos des Autopiloten manuell entgegenzuwirken. Zudem würden Angriffsversuche auf diese Funktion Alarme an Bord auslösen. Die Fachleute halten es aber ohnehin für unwahrscheinlich, dass die an Bord von Flugzeugen verwendeten, auf dem ARINC 664- beziehungsweise AFDX (Airbus)-Standard basierenden Kommunikationssysteme so ohne weiteres angreifbar seien: Zwar basierten die Standards auf Ethernet, es seien aber keine herkömmlichen Ethernet-Netzwerke und zudem würde kein TCP/IP verwendet

So gebe es beispielsweise immer nur einen Sender, auf den ein oder mehrere Empfänger hören. Es gebe auch keine Entsprechung für ein Cross-Over-Kabel. Alle Komponenten seien jeweils direkt mit einem Avionics Switch verbunden, der unter anderem die Umsetzung zwischen den gleichzeitig verwendeten Glasfaser-, Koax- und Twisted-Pair-Kabeln erledigt. Ein Angreifer könne also nicht einfach von seinem Notebook aus per Ethernetkabel Datenpakete einspeisen und damit kritische Systeme manipulieren.

Außerdem seien die ARINC 664-/AFDX-Systeme niemals drahtlos ausgeführt und auch nicht mit dem Entertainment- oder WLAN-System gekoppelt. Die GPS- und Flugdaten, die beispielsweise für die Weltkartendarstellung auf den Monitoren in der Kabine notwendig seien, würden per Einbahnstraßenkommunikation vom GPS-Empfänger und dem Flight Management System gesendet. Einen Rückkanal gebe es nicht.

Ausnahmeregelung für die Boeing 777

In Hinblick auf den verschwundenen Flug MH370, der mit einer Boeing 777 ausgeführt wurde, sagte Dr. Polstra, dass Boeing Ende 2013 tatsächlich eine Ausnahmegenehmigung für diesen Flugzeug erhalten habe, um das Passenger Information Network (PIN) mit anderen Netzen wie dem Flight Management System (FMS) zu koppeln. Diese Ausnahme sei unter der Auflage genehmigt worden, dass Boeing ein Network Extension Device (NED) zwischen die Netze schaltet.

Das NED ist ein Gateway zwischen ARINC 664 und anderen, beispielsweise IP-basierten Netzen. Bei einem solchen NED müsse aber jeder Kommunikationspfad einzeln programmiert werden und es gebe keinen Kanal vom PIN zum FMS. Es sei einzig denkbar, dass ein Angreifer das NED kompromittiert und von dort aus eine weitere Komponente im ARINC-Netz hackt, die mit dem FMS kommunizieren darf. Es seien aber keinerlei solche Hacks oder die dazu notwendigen Techniken bekannt. Zudem sei die 777 der einzige Flugzeugtyp, der ARINC 629 verwende, das noch weiter von Ethernet entfernt sei als ARINC 664.

ADS manipulierbar, TCAS eher nicht

In Bezug auf die Flugsicherungssystem ADS (Automatic Dependent Surveillance) -A (Adressable, große Flugzeuge) und ADS-B (Broadcast, kleinere Maschinen) führten die Fachleute aus, dass mangels sicherer Protokolle tatsächlich Phantomflugzeuge oder gefälschte Wetterwarnungen per Funksender ins System eingespeist werden können. Fluglinien würden aber weder ADS-A, noch ADS-B zur Kollisionsvermeidung nutzen. Stattdessen komme, wo verfügbar, TIS-B zum Einsatz. Das vom jeweiligen Air Traffic Control (ATC) ausgesandte Signal basiert nicht auf dem anfälligen ADS-B und die Mitarbeiter am Boden würden auch nicht jedes per ADS-B empfangene Flugzeugsignal ins System einspeisen. Fehle beispielsweise zum per ADS-B empfangen Signal ein entsprechendes Radarsignal, würde die Information verworfen. TIS-B sei auch nicht autoritativ, das heißt, Piloten müssen einer Warnung solange nicht Folge leisten, bis sie das andere Flugzeug mit dem eigenen Auge erkennen können.

Autoritativ sei das im kommerziellen Umfeld verwendete TCAS, das die Radarsysteme an Bord ergänze. Bei diesem System könne jeder Transponder an Bord eines Flugzeugs die anderen aktiven Transponder in der Umgebung abfragen. Um dieses System zu attackieren, müsste der Angreifer sich aber für längere Zeit gleich schnell bewegen wie das potentielle Opfer – was die Experten dann doch für ziemlich abwegig halten.

In Bezug auf einen Vortrag im Rahmen der vorangegangenen Konferenz Black Hat (PDF), der sich mit Fehlern in den Satellitenkommunikationssystemen befasste, beruhigten die Flugprofis: Zum einen kommunizieren Flugzeuge nicht ausschließlich per Satellit mit dem Boden, sondern auch per Funk. Ein alleiniges Manipulieren der Sat-Verbindung ist also wahrscheinlich nicht ausreichend. Aber selbst wenn kein anderer Kanal zur Verfügung steht, würden Piloten ihnen merkwürdig erscheinende Anweisungen immer erst mit dem zuständigen Mitarbeiter der Fluglinie am Boden klären. Einer Anweisung wie „Abdrehen in Richtung Kuba“, die in einem humorvollen Video der Flug-Profis auftauchte, würde also schnell als gefälscht auffliegen. (fab)