Когда НАСА стыкует два космических корабля на орбите, время имеет решающее значение. Их движения должны быть точно синхронизированы друг с другом, чтобы предотвратить катастрофический сбой, а это означает, что компьютерные сети, управляющие их двигателями, не должны прерываться ни на долю секунды; инструкции о том, как и когда двигаться, должны доставляться вовремя, каждый раз.
Линь Тхи Суан Фан, доцент кафедры вычислительной техники и информатики Penn Engineering, сотрудничала с группой исследователей из Мичиганского университета и НАСА, чтобы выявить критический недостаток безопасности в сетевом подходе, используемом в этих и других критически важных для безопасности системах.
Этот подход, известный как Time-Triggered Ethernet, или TTE, уже более десяти лет используется в аэрокосмической, авиационной и тяжелой промышленности. В этих условиях по их компьютерным сетям постоянно перемещается множество различных типов информации , но не все требуют одинакового уровня точности синхронизации. Time-Triggered Ethernet гарантирует приоритет наиболее важных сигналов, устраняя необходимость в отдельном выделенном для них сетевом оборудовании.
Наличие нескольких типов сигналов в одной и той же физической сети через TTE особенно важно для НАСА, которое должно учитывать каждую унцию веса космического корабля. Тем не менее, исследовательская группа была первой, кто показал, что гарантии безопасности TTE могут быть нарушены из -за электромагнитных помех , нарушающих синхронизацию высокоприоритетных сигналов достаточно, чтобы вызвать критический сбой при моделируемой процедуре стыковки.
Вместе с Эндрю Лавлессом, Рональдом Дреслински и Барисом Касикчи из Мичиганского университета Фан опубликовал эти выводы в материалах симпозиума IEEE 2023 года по безопасности и конфиденциальности .
Работая в Космическом центре Джонсона НАСА, Лавлесс начал исследовать возможность этой уязвимости в системе безопасности с помощью данных моделирования. Он и его коллеги из Мичигана наняли Фэна, эксперта по безопасности киберфизических систем, чтобы он рассмотрел уязвимость, коренящуюся в аппаратном обеспечении самих сетей TTE.
Они показали, что сигналы с низким приоритетом могут быть отправлены таким образом, что кабели Ethernet, передающие сообщение, будут генерировать электромагнитные помехи, достаточные для пропуска вредоносного сообщения через коммутаторы, которые обычно блокируют их.
«Этот подход широко использовался в критических системах из-за гарантии того, что два типа сигналов не будут мешать друг другу», — говорит Фан. «Но если это предположение неверно, все остальное разваливается».
Команда в частном порядке раскрыла свои выводы и предложила меры по смягчению последствий, включая замену медных кабелей на оптоволоконные и другие оптические изоляторы, крупным компаниям и организациям, использующим TTE, и производителям устройств в 2021 году.
«Все были очень восприимчивы к принятию мер по смягчению последствий», — говорит Лавлесс. «Насколько нам известно, в настоящее время нет угрозы чьей-либо безопасности из-за этой атаки. Нас очень воодушевила реакция, которую мы увидели со стороны промышленности и правительства».
