时间触发以太网是一个允许关键任务设备(如飞行控制器)与非必要系统(如乘客Wi-Fi)在同一网络硬件上运行的系统。TTE协议的出现是因为需要有成本效益和高效的方式来共享网络资源,而不是拥有两个完全独立的系统。
10多年来,该协议在保持两类流量的隔离方面一直运行良好。然而,研究人员开发了一种被称为PCspooF的攻击,利用了网络交换机的一个缺陷。研究小组利用美国国家航空航天局(NASA)为模拟载人小行星导向测试而设置的真实硬件来证明这一弱点。在对接程序的前一刻,该团队向太空舱的系统发送了破坏性信息,造成了一连串的中断,并让飞船错过其交汇点。
密歇根大学计算机科学与工程系助理教授Baris Kasikci说:"我们想确定在一个真实的系统中会有什么影响。如果有人在真正的太空飞行任务中执行这种攻击,会有什么损失?"
根据测试,结果可能是灾难性的,在最好的情况下会需要导致疯狂的补救与争夺以纠正航路,在最坏的情况下会让航天器与其他飞船相撞。
时间触发的以太网交换机决定流量优先级。因此,当一个系统与另一个系统争夺网络时间时,具有关键任务地位的系统会被优先考虑。为了发送假的同步信息,该团队设计了一台模拟网络交换机的机器。然而,TTE协议只接受来自脆弱设备上的网络交换机的同步信号。因此,该团队通过以太网电缆引入电磁干扰(EMI)来克服这一障碍。EMI在安全协议中产生了足够的缺口,使恶意信号得以通过。
密歇根大学计算机科学和工程系博士生安德鲁-洛夫莱斯说:"一旦攻击开始,TTE设备将开始零星地失去同步,并反复重新连接。"
持续不断的信息传递不一定会产生混乱的结果。一旦有几个信号通过,同步就会被完全"打乱",并随着其他关键任务的命令被扔到队列中或完全被丢弃而连带影响。
研究小组建议有几个缓解方案。一个是用光纤替换以太网铜线,或者在交换机和不信任的设备之间放置隔离器。然而,这种基础设施的改造可能被证明是昂贵的,而且会带来性能上的折衷。一个更便宜的方法是改变网络布局,使来自恶意来源的同步信息不能与合法信号在同一路径上传播。
去年,研究人员向设备制造商和制造及使用TTE系统的公司通报了他们的发现和缓解建议。他们认为该漏洞不会对日常消费者构成任何直接风险,也没有看到任何模仿该载体的攻击在外部发生。
Loveless说:"每个人都非常乐于接受采用缓解措施。据我们所知,目前没有人因为这种攻击而受到威胁。我们看到工业界和政府的反应让我们感到非常鼓舞"。