Il CYD Campus individua le lacune nel sistema di avviso di collisione TCAS II per gli aerei civili
La scorsa settimana, le autorità di sicurezza statunitensi hanno confermato gravi vulnerabilità nel sistema di avviso di collisione per l'aviazione civile. Un progetto di ricerca condotto in precedenza dal Cyber Defence Campus (CYD Campus) di armasuisse Scienza e tecnologia (S+T) in collaborazione con ricercatori italiani ha contribuito in modo significativo a individuare le vulnerabilità.
Samuel Albrecht e Andrea Thäler, Cybersecurity e Data Science, Settore di competenza Scienza e tecnologia
In breve
Il CYD Campus ha sottoposto il sistema di avviso di collisione «Traffic Alert and Collision Avoidance System (TCAS) II» per l'aviazione civile a un'analisi tecnica di sicurezza completa. Sono stati informati i produttori e le autorità aeronautiche in Europa e negli Stati Uniti. Le vulnerabilità pubblicate sono state classificate dalla Cyber Defence Agency (CISA) degli Stati Uniti e dalla Federal Aviation Authority (FAA) degli Stati Uniti come moderate e gravi rispettivamente.
L'11 dicembre 2024, un Boeing 737-800 sta per atterrare all'aeroporto John F. Kennedy di New York. Quello che inizialmente sembra un atterraggio normale, diventa improvvisamente insolito. Sul display del sistema TCAS dell'aereo compare un avviso di collisione. Il pilota viene invitato dal sistema TCAS a evitare immediatamente la potenziale collisione e a salire a 3.700 piedi, cosa che fa come da istruzioni. In seguito, il controllo del traffico aereo e il pilota stabiliscono che nessun altro oggetto volante era nelle vicinanze e che non c'era alcun rischio di collisione. Si è trattato di un problema tecnico o di un nuovo tipo di cyberattacco?
Ricerca presso il CYD Campus
I ricercatori del CYD Campus lavorano su questo tema da oltre 5 anni. Il Cyber Avionics Lab, creato a questo scopo a Thun, permette di studiare i cyberattacchi ai sistemi di aviazione certificati. Già in passato, i ricercatori del CYD Campus stavano svolgendo un lavoro pionieristico in questo campo. Sono stati esaminati diversi sistemi, come l'ADS-B, il MLAT, il CDPLC e il GPS, per mostrare come questi sistemi di aviazione digitale reagirebbero a attacchi informatici realistici.
Negli ultimi due anni, un team del CYD Campus ha lavorato a stretto contatto con ricercatori italiani per analizzare il TCAS II. Questo sistema è obbligatorio nell'aviazione civile per gli aeromobili di peso pari o superiore a 5.700 kg o che trasportano più di 19 passeggeri ed è utilizzato come ultima risorsa per evitare le collisioni quando tutte le altre procedure per mantenere la distanza di sicurezza tra gli oggetti volanti sono fallite. I piloti sono obbligati a reagire immediatamente agli avvisi di collisione del TCAS, ad esempio regolando l'altitudine verso l'alto o verso il basso. Dopo la collisione tra aerei avvenuta a Überlingen nel 2002, c'è stato un impegno a seguire le istruzioni del TCAS.
Nell'autunno del 2023, il team è riuscito a innescare falsi avvertimenti in una cabina di pilotaggio nel proprio laboratorio utilizzando un processore TCAS certificato di Garmin con la propria configurazione radio. Questi risultati sono stati successivamente dimostrati nell'estate del 2024 alla conferenza hacker DEF CON di Las Vegas e alla conferenza sulla sicurezza Usenix di Philadelphia.
Dall'annuncio iniziale del CYD Campus nell'estate del 2024, il problema ha attirato l'attenzione di diverse autorità di sicurezza e di aviazione in tutto il mondo. La prima organizzazione a emettere un avviso di sicurezza è stata l'agenzia informatica americana CISA del Dipartimento di Sicurezza Nazionale, in collaborazione con la FAA degli Stati Uniti, il 21 gennaio 2025. Hanno classificato le due vulnerabilità individuate nel CYD Campus come moderate e gravi, rispettivamente. Questa categorizzazione è innovativa per le altre regioni del mondo che utilizzano il TCAS, compresa l'Europa.
Prospettive e conclusioni dal punto di vista del CYD Campus
Secondo la FAA, al momento non esistono contromisure pratiche. Tuttavia, in pratica, il successo di un attacco di questo tipo è associato a restrizioni e a un alto livello di complessità. Tuttavia, il rischio non deve essere sottovalutato e si raccomanda alle organizzazioni interessate di adottare misure compensative per rilevare tali attacchi, in modo da poter reagire in modo appropriato in caso di incidente.