军事控制系统网络安全：对MIL-STD-1553数据总线的网络攻击

网络连接泛在、网络攻击泛化的时代，IT系统提供的巨大优势被它引入现代系统的一系列漏洞所抵消。漏洞几乎贯穿了系统的整个阶段，从新系统的设计，到供应链和维护阶段，这些漏洞都可以被利用。造成的影响后果可能从数据泄露到不能使用特定武器系统，甚至是财产损失、生命损失，不一而足。重要的是要考虑到，以网络攻击为代表的威胁不仅影响最新的系统，而且还影响那些在过去几十年里从未被安全设计的系统。后者可能受到更高程度的影响。事实上，这些系统使用的是传统版本的嵌入式计算机、传感器、网络等，这些都是在安全还不像现在这样重要的时候开发的。飞机上的传感器、执行器、嵌入式计算机、控制器和武器系统的互联是一个潜在的漏洞。武器系统和航空电子系统使用MIL-STD-1553标准作为通信协议，正是这类存在潜在隐患的协议的典型代表。

为什么1553数据总线如此脆弱？

“1553是一个共享总线，”国防电子承包商Peraton Labs的系统和网络安全高级研究总监约瑟芬·米卡莱夫(Josephine Micallef)解释说，“这意味着当传输信息通过该总线发送时，连接在该总线上的任何设备都可以看到消息。从安全角度来看，这存在明显的问题。”这意味着在总线上已立足的攻击者可以窃听表示飞机位置、速度、方向和其他关键的信息。

另外，因为没有办法对总线上的消息进行身份验证，连接到总线的流氓或受恶意软件感染的嵌入式系统可能会假装是其他组件发送消息。拥有这种权限的攻击者可以向飞行计算机以及飞行员发送有关燃油水平、高度或位置的虚假数据。

最糟糕的是，缺乏认证意味着攻击者可以假装是飞行计算机。米卡莱夫说:“你可以模仿总线控制器”——这是飞行计算机在总线上通常扮演的角色——发送虚假数据或虚假指令。她说:“这可能会造成严重破坏，造成操作混乱、不可靠的态势情报、平台不稳定，以及任务中止、任务失败和随之而来的物资损失和生命损失。”

即使是一个粗糙的拒绝服务类型的攻击，用虚假流量淹没了总线，也可能产生更广泛和不可预测的影响。他说:“如果你让总线不堪重负，你可能会让它进入某种奇怪的(类似竞争条件的)状态……一种溢出的情况。在这种情况下，安全协议可能会导致设备转储其加密密钥或其他数据。

但最阴险的黑客可能是很隐蔽的：攻击目标是1553总线上的关键任务设备，只有在特定条件下才触发，例如，如果目标在特定区域内，就可以阻止武器开火。只在非常低的高度破坏高度数据的攻击可能导致起飞或降落失败。

米卡莱夫说:“最可怕的袭击是那些你不知道正在发生的袭击。拒绝服务攻击,阻止总线操作将被发现,在飞行前检查,并将阻止飞机离开地面,“但最严重的攻击是一个并不是显性的，任务失败,不是因为网络攻击造成的,而是因为一些设备故障。”

米卡莱夫和README记者采访的其他六名消息人士都不愿评论1553总线是否真的受到了网络攻击(“我喜欢你，”其中一人说，“虽还不至于到要进监狱的程度——这是高度机密”)，但危险显然不仅仅是理论上的。在今年1月发表的一篇论文中，意大利航空学院(Aeronautical Institute In Italy)的学者们透露，他们实际上已经制造出了一种可以对1553总线的航母实施网络攻击的设备。

MIL-STD-1553总线可能面临哪些网络攻击？

在意大利航空学院研究者的论文中，作者描述了可能对1553数据总线实施的网络攻击。作者称，鉴于该协议的特殊性，连接到1553网络的非法设备有可能进行大量的(尽管有限的)攻击。事实上，将所有控制委托给BC（总线控制器）的多路复用和调度方案创建了一个可以针对和利用的单点故障。如果一个设备能够在网络中注入命令字，其他1553设备无法将这些信息与合法信息区分开来。这种行为可能会产生严重的后果，从阻止系统之间的信息交换到向系统提供虚假或恶意的数据。根据更高级别的漏洞，攻击可能通过战术网络传播到其他域。事实上，现代武器系统越来越成为相互关联的数据处理单元，信息交换对执行任务至关重要。因此，本质上基于MIL-STD-1553协议规范的可行的逻辑级网络攻击将利用集中式多路复用方案，通过统计学习帧调度并在方便的总线时间执行恶意动作。

与1553基础设施相关的攻击类型，因此将是进一步考虑的主题，如下形式的攻击是最直接的想法:

A.直接拒绝服务(通过频带消耗);

B.恶意利用(通过欺骗和消息注入)。

拒绝服务(DoS)

DoS的目的是阻止总线上的通信。它利用低电平干扰并消耗总线资源，防碍子系统之间的数据交换。可能的后果是显而易见的。例如，需要地面目标坐标才能发射的制导武器可以从系统中分离出来。在这种情况下，如果不能建立通信，武器系统将不会被释放。对于1553网络，终端之间的通信可能被随机注入消息阻塞，这将导致总线上的冲突。如果网络设备对总线有物理访问，那么实现就很简单。实际上，最基本的实现是根据主帧和子帧模式，将命令字与总线上发生的标准消息相对应地传输。这种行为会引起干扰和噪声，并导致解码错误。BC可能会注意到总线上无法通信，并采取尝试恢复链路的行动，例如在冗余信道上切换传输。但是，如果网络设备可以访问每个通道，则可以同时对每个通道进行攻击。BC可能会将情况报告给操作员，即飞行员或领航员。因此，人们可能有兴趣通过最小的噪声注入来实现DoS，以减少被检测到的可能。

此外，DoS可以以各种各样的方式执行。可以应用更微妙和“优雅”的方法，从而使攻击者保持不被发现。其中一种技术是让网络设备与BC定期传输的命令字发生冲突，因此RT（远程终端）永远无法解码。同时，它也可能代表RT进行响应，提供虚假信息。实际上，如果命令字在BUS上发生冲突，RT执行的消息验证将失败，后者将不会提供任何响应。因此，如果网络设备提供了预期的响应，BC就会被误导，认为通信已经成功。该解决方案暗示了目标消息特征的先验知识，以便网络设备能够恰当地组合BC所期望的状态字。

欺骗（Spoofing）

这种攻击包括利用互连子系统的逻辑中的错误和漏洞。事实上，1553数据总线协议已经被设计成一种高可靠性的通信手段。在通信过程中，安全性还没有成为一个主要的角色，因此设备很容易被利用。例如，通过物理访问1553总线的网络设备可以检测总线上的空闲时间(即当BC和RT都不传输数据时)，并在该时间间隔内发起消息交换。每一个其他设备将假定总线上的通信是由合法的BC发起的，因为该协议没有提供任何方法来识别操作为BC的终端。因此，网络设备将能够向终端提供恶意信息。

例如，考虑到上述制导武器的情况，攻击者可以向该武器提供不属于特派团指定目标的座标，而忽略以往的任何数据。没有设备会知道存储在武器系统中的坐标是伪造的，而BC将简单地忽略这种信息交换。这种攻击的后果可能是毁灭性的：它们可能是武器没有发射，也可能是装置本身没有导向目标区域。

在执行这种类型的攻击时要面对的主要问题是确定何时传输总线上的空闲时间。这转换为预测消息间间隙或未使用的非周期性消息槽。事实上，网络设备必须在一定程度上保证网络在一定的时间间隔内不受合法通信的影响。为了进行这样的分析，必须实现基于信号处理和模式识别的算法，这些算法能够评估潜在的流量特征，并进行充分的预测。

攻击是如何实现的？

事实上，武器系统的核心正在嵌入越来越多的信息技术;因此，他们很容易受到第五维度，即网络空间的攻击。因此，需要在提及的领域引入弹性。D. De Santo等人的研究和最终的攻击工具开发，遵循了如下五个基本的步骤。

第一步是彻底调研选定的方案，即MIL-STD-1553的漏洞在于它对时分多路复用的使用，这完全委托给了BC（总线控制器）。通过使用命令字，BC发起终端之间的通信，并编排时间和调度。因此，如果非法设备能够估计空闲时间并发送消息，而不会与底层流量发生冲突，那么它就有可能欺骗终端并产生影响。在其他情况下，攻击者可能有意在总线上主动引起冲突，以防止或损害通信。网络行动的目标可能是基础设施本身，或与总线接口的特定系统。在前一种情况下，对物理层的干扰足以实现普遍的冲突，使合法的消息交换变得无法进行。在后一种情况下，更深入的分析导致了对选择性干扰攻击的识别，该攻击可能被执行以阻止特定信息的传输。

第二步是继续使用基于模型的系统工程方法，以便根据可操作场景的定义来验证系统架构。采用的建模框架-即ARCADIA。

第三步是展开操作分析、系统分析、逻辑分析。这个过程允许作者定义四个架构块。接下来的阶段是将建模结果转化为一个有效的软件。研究者用C/ c++实现了软件，并利用AceXtreme SDK接口连接到DDC MIL-STD-1553板。

最后一步包括在虚拟和真实系统上进行测试和实验。研究者分别进行了阻塞、注入、选择性注入的攻击测试。结果表明，上述1553总线的漏洞确实可以被利用，测试的成功为进一步的工作和研究提供了良好的起点。试验也证明了通过统计分析流量来注入消息而不引起冲突是可能的。另一方面，研究者还没有能够充分评估选择性干扰的可行性。这主要是由于采用Windows等非实时操作系统引入了太多的抖动，从而不允许实现帧同步。为了确定这种攻击是否真的有效，软件必须移植到实时操作系统上，如VxWorks或RT-Linux，或者更好的是，实现为固件或硬件执行。

尽管作者认为测试用的软件还需要进一步的改进、完善和更新，以便作为演示工具或验证工具使用。然而，这为继续分析航空电子平台上的漏洞提供了坚实的基础，特别是那些部署MIL-STD-1553协议的平台。

作者认为，在这些系统中实现一些网络弹性的可行解决方案应该采取基于统计的入侵检测系统的形式，或者通过深度学习技术的精明设计。实际上，他们的研究工作中提出的一些一般原则可以应用于其他系统或协议。因此，作者进一步认为该项研究将提高人们对电子航空电子学的兴趣。

1553数据总线的安全问题已经完全暴露，但其后果影响能到什么程度还缺乏深度的评估。显而易见的是，这一定是涉及财产和生命损失的重大问题。

关于1553数据总线的安全防御，下期再进行讨论。

（一）军标MIL-STD-1553数据总线存在安全漏洞，武器系统和航空电子系统面临网络攻击危险

参考资源

1、https://readme.security/this-vulnerability-puts-the-future-of-u-s-warfighting-at-risk-9d1d75581279?gi=ae85f86d0cdc

2、D. De Santo, C.S. Malavenda, S.P. Romano, C. Vecchio，Exploiting the MIL-STD-1553 avionic data bus with an active cyber device，Computers & Security (2020), doi:https://doi.org/10.1016/j.cose.2020.102097

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。