Un caso e un pericoloso precedente nella moderna guerra elettronica
Domenica nei cieli tra Polonia e Bulgaria, come ormai è noto a tutti, la presidente von der Leyen è stata oggetto di un problema al sistema di navigazione del suo aereo che la portava ad un importante vertice. Ora a prescindere dalle elucubrazioni di matrice politica e cospirative, dalle quali volontariamente mi astengo, proviamo a vedere in pratica cosa potrebbe essere capitato.
“Proviamo” perché sicuramente quello che trapela, giustamente, è solo la parte divulgabile della notizia. Cerchiamo di capire insieme partendo da ciò che è trapelato.
Partiamo dal suo viaggio. Si sa che le due fasi più pericolose per un volo aereo sono il decollo e l’atterraggio. Delle due sicuramente credo sia l’atterraggio (non sono un esperto in tal senso).
Occorre “centrare” una lingua di asfalto che si trova a decine di chilometri di distanza e che non è assolutamente facile da identificare a vista.
Proprio in quella delicata fase di avvicinamento, c’è stato il blackout del sistema GPS. Mi immagino lo stupore e la preoccupazione di piloti e che, comunque, hanno saputo gestire il problema egregiamente con strumenti manuali. Pare abbiano utilizzato mappe cartacee.
Le tensioni politiche accresciute dopo la guerra in Ucraina, però non ne hanno fatto un caso isolato. Casualmente nella zona si sono registrate già altre interferenze. Cosa sta accadendo quindi?
La navigazione satellitare è uno dei punti cardine per i mezzi di trasporto. Qualunque esso sia. Dalla nostra autovettura, alle navi commerciali, alla navigazione aerea, alle applicazioni militari.
Il Global Navigation Satellite System (GNSS), termine generico con cui si identificano i servizi di posizionamento, navigazione e sincronizzazione temporale (PNT) a livello globale, è composto da diversi attori. A copertura terrestre completa abbiamo GPS (USA), GLONASS (Russia), Galileo (Unione Europea) e BeiDou (Cina), mentre a livello regionale abbiamo il NavIC (India) e QZSS (Giappone).
Il sistema GPS statunitense è quello certamente più noto e che ha rivoluzionato la navigazione.
Si basa fondamentalmente su di una moltitudine di satelliti in orbita terrestre che trasmettono segnali radio estremamente precisi contenenti informazioni temporali. Il ricevitore a terra riceve questi segnali da almeno 4 satelliti ed attraverso un processo matematico (trilaterazione), riesce ad ottenere la posizione con estrema precisione.
Stiamo quindi parlando di segnali radio con delle frequenze ben specifiche. La vulnerabilità intrinseca di questo sistema è proprio nel suo metodo di trasmissione. I satelliti orbitano a 20.000km dalla terra per cui il segnale che riceviamo è molto debole. Questo li rende suscettibili a essere disturbati localmente con fonti radio “sporche” e di potenza.
Su questa particolarità si basano le tecniche di disturbo e attacco al sistema GPS.
Nell’aviazione, il GPS è un elemento importantissimo su cui si basano i dati PNT (Posizione Navigazione Tempo) e che fornisce i dati ad altri sistemi di bordo vitali come il Flight Management System (FMS), il Supporto al Sistema di Riferimento Inerziale (IRS), l'Enhanced Ground Proximity Warning System (EGPWS), l'Automatic Dependent Surveillance-Broadcast (ADS-B) e il Required Navigation Performance (RNP).
Proprio quest’ultimo sistema è soggetto alla più importante vulnerabilità. Il sistema RNP è stato ideato per avere procedure avanzate di avvicinamento adottando rotte più efficienti basate sul GPS.
Questa ricerca spasmodica di ottimizzazione, anche in ottica di risparmio di carburante, ha inavvertitamente creato questa vulnerabilità sfruttabile a livello di sabotaggio.
Abbiamo quindi un SPF (Single Point of Failure) che un aggressore può sfruttare negando o manipolando il segnale GPS. Questo porta a impostare rotte sbagliate, più lunghe o costringere i piloti a operazioni laboriose come nel caso von der Leyen, causando ritardi o peggio…
Le tecniche
Le tecniche attuabili sono essenzialmente 2. Il jamming e lo spoofing. Il primo lo conosciamo di già perché è la stessa tecnica che viene utilizzata per impedire al nostro telecomando dell’autovettura di inviare il segnale di chiusura porte. Noi siamo convinti di averla chiusa mentre il ladro, utilizzando un jammer, l’ha mantenuta aperta. Quello che succede dopo è noto.
Lo spoofing è invece più tecnicamente evoluto. Vediamole tutte e due.
Jamming GPS: l'oscuramento del segnale
Il jamming è la forma più semplice e brutale di attacco al GPS. Si basa essenzialmente sull'invio un segnale “sporco”, pieno di rumore. Siccome le frequenze utilizzate dal sistema, si trovano nel campo delle microonde, è possibile sfruttarne la forte direzionalità, “sparando” con antenna fortemente direzionale, sul bersaglio. A questo punto il segnale di disturbo enormemente più forte del segnale originale, ne causa il completo oblio. Abbiamo messo un cappuccio nero ai piloti. Questi apparati noti come Jammer, possono essere di bassa potenza come quelli utilizzati dai ladri nelle aree di servizio, oppure molto potenti da poter essere utilizzati con precisione anche a distanza di centinaia di chilometri. Quelli in grado di poter essere in grado di seguire un aereo in volo. Sempre lasciando da parte le analisi politiche, possiamo dire che in quella zona, tra le repubbliche baltiche, esiste l’enclave russa di Kaliningrad. Questo qualche legittimo dubbio ce lo fa venire.
Spoofing GPS: lo spoofing: la minaccia più pericolosa
Lo spoofing è un attacco molto più pericoloso e subdolo. Il meccanismo si basa fondamentalmente sull’inganno del sistema GPS. Il veicolo di intrusione è lo stesso del Jamming ma cambia fondamentalmente sul tipo di trasmissione. Al posto di inviare “rumore”, viene inviato (con potenza di segnale) un segnale GPS contraffatto simile in tutto e per tutto al segnale originale ma con dati contraffatti al suo interno. Il sistema ricevente non potendo garantire l’autenticità dello stesso, lo utilizza come buono. Ora capite che latitudine, longitudine e altitudine vengono determinati da questo sistema e un segnale falso può portare fuori rotta o, peggio, far schiantare al suolo gli aerei. E i piloti se ne accorgerebbero solo a danno fatto. Una vulnerabilità che si aggiunge a quanto detto prima è che la struttura del codice civile C/A del GPS è pubblicamente nota e quindi riproducibile. Inoltre, non è possibile “fidelizzare” il segnale.
Le conseguenze quindi di un attacco del genere su di un aereo civile possono essere più devastanti del Jamming. L’equipaggio e i sistemi di navigazione potrebbero essere ingannati ritenendo le informazioni perfette mentre in realtà la rotta potrebbe portare il velivolo in aree ostili o contro un ostacolo fisico.
Analisi dell'incidente di Von der Leyen
Jamming o spoofing? La verità la sano solo loro. E va bene così. Possiamo però ipotizzare che si tratti effettivamente di Jamming come i canali ufficiali affermano. I sistemi attuali di navigazione, in caso di spoofing dove si possano manifestare improvvisi scarti di navigazione, potrebbero accorgersene ed evitare potenziali disastri. È una tecnica sofisticata e quindi anche difficile da realizzare. La più probabile (anche se dozzinale) è proprio quella di offuscare il segnale e rendere ciechi i sistemi.
Sul ponte di comando
Cosa succede al ponte di comando? Sicuramente una cascata di guasti ai vari sistemi. La mancanza del segnale GPS crea un effetto domino su tutti i sistemi di avionica.
Un primo segnale possono essere i display del PFD (Primary Flight Display) con messaggi poco confortanti. Si passerebbe poi ad un degrado dell’FMS e dell’EGPWS che avvisa di possibili schianti del velivolo.
Le vulnerabilità dei sistemi avionici attuali è l’interoperabilità tra di loro. Se un sistema critico fallisce, ne consegue un effetto cascata devastante. La storia di incidenti aerei legati al fail anche di un elemento insignificante di per sé, è molto lunga. Errori software, sensori malfunzionanti ecc. ecc.
Spero con questo articolo di avervi fatto comprendere un po’ di più quali sono i rischi tecnologici dei voli aerei. Spero anche di avervi fatto comprendere quanto sia importante essere diligenti in aereo quando vi chiedono di spegnere i device elettronici durante le fasi di decollo e atterraggio.
È forse indispensabile che si ritorni ai fondamentali dell’essere umano. Riprendere ad essere in grado di cavarsela senza tecnologia e istruire bene i piloti anche in queste evenienze, credo sia essenziale.
Questo incidente ci dà una visione di controtendenza dove l’esasperata automazione non sempre è cosa buona e giusta. Il pilota dà un valore umano insostituibile per il suo intuito, preparazione e capacità di scegliere cosa fare al momento giusto.
Si narra che “la sicurezza è forte tanto quanto il suo anello più debole”. In questo caso l’anello debole è l’automazione.