Коли NASA стикує два космічні кораблі на орбіті, час має вирішальне значення. Їхні рухи мають бути точно синхронізовані один з одним, щоб запобігти катастрофічного зламання, а це означає, що комп’ютерні мережі, які керують їхніми двигунами, не повинні бути порушені навіть на частку секунди; вказівки щодо того, як саме і коли рухатися, повинні бути доставлені вчасно, кожного разу.
Лінь Тхі Сюан Фан, доцент кафедри комп’ютерних та інформаційних наук Penn Engineering, співпрацював із групою дослідників з Мічиганського університету та NASA, щоб виявити критичний недолік безпеки в мережевому підході, який використовується в цих та інших критично важливих для безпеки системах. .
Цей підхід, відомий як Time-Triggered Ethernet, або TTE, використовується вже більше ніж десять років в аерокосмічній, авіаційній та важкій промисловості. У цьому контексті багато різних типів інформації постійно переміщується їхніми комп’ютерними мережами, але не для всіх потрібен однаковий рівень точності синхронізації. Time-Triggered Ethernet гарантує, що найважливіші сигнали отримують пріоритет, усуваючи потребу в окремому мережевому обладнанні, призначеному для них.
Наявність кількох типів сигналів в одній фізичній мережі через TTE особливо важлива для NASA, яке має враховувати кожну унцію ваги космічного корабля. Проте дослідницька група була першою, хто продемонстрував, що гарантії безпеки TTE можуть бути порушені через електромагнітні перешкоди, що порушують синхронізацію високопріоритетних сигналів настільки, що спричиняють критичний збій під час моделювання процедури стикування.
Разом з Ендрю Лавлессом, Рональдом Дреслінскі та Барісом Касікчі з Мічиганського університету Фан опублікував ці висновки в матеріалах симпозіуму IEEE з безпеки та конфіденційності 2023 року.
Працюючи в Космічному центрі Джонсона NASA, Лавлесс почав досліджувати можливість цього недоліку безпеки за допомогою даних моделювання. Він і його колеги з Мічігану залучили Фана, експерта з безпеки кіберфізичних систем, щоб він дослідив недолік, що корениться в апаратному забезпеченні самих мереж TTE.
Вони показали, що сигнали з низьким пріоритетом можуть надсилатися таким чином, що кабелі Ethernet, які передають повідомлення, створюватимуть електромагнітні перешкоди, достатні для пропуску зловмисного повідомлення через комутатори, які зазвичай їх блокують.
«Цей підхід був широко поширений у критично важливих системах через гарантію того, що два типи сигналів не можуть заважати один одному», — каже Фан. «Але якщо це припущення хибне, все інше розвалюється».
Команда приватно оприлюднила свої висновки та запропоновані заходи пом’якшення, включаючи заміну мідних кабелів на волоконно-оптичні та інші оптичні ізолятори, великим компаніям і організаціям, які використовують TTE, і виробникам пристроїв у 2021 році.
«Усі були дуже сприйнятливі до прийняття заходів пом’якшення», — каже Лавлесс. «Наскільки нам відомо, ця атака не загрожує чиїйсь безпеці. Ми були дуже надихнуті реакцією промисловості та уряду».