2016 年 8 月 5 日,國泰航空 905 號航班從香港起飛,原本預計準時抵達馬尼拉尼諾伊·阿基諾國際機場,但意外發生了。飛行員透過無線電告知空中交通管制員,他們在最後八海里航程中失去了飛往“右跑道 24 號”的 GPS(全球定位系統)導航。
管制員感到驚訝,告訴飛行員僅憑目視降落寬體波音 777-300。機組人員成功降落,但在整個過程中都感到焦慮。幸運的是,那天天空大多晴朗。
這並非孤立事件。在當年的 7 月和 8 月,國際民用航空組織僅在馬尼拉機場就收到了 50 多起 GPS 干擾報告。在某些情況下,飛行員不得不立即加速飛機並在機場周圍盤旋以嘗試再次降落。這種緊急操作可能導致機組人員失去對飛機的控制。在今年 4 月釋出的航空安全諮詢中,該組織寫道,航空業現在依賴於不間斷地訪問衛星定位、導航和定時服務,並且這些系統的漏洞和威脅正在增加。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和思想的具有影響力的故事的未來。
近年來,在至少四個主要機場發生的事件中,進近的飛行員突然失去了 GPS 導航。根據美國宇航局的航空安全報告系統,6 月,一架在愛達荷州降落的客機險些撞到山上。幸虧一位警覺的空中交通管制員的干預才避免了災難。研究這些事件的安全分析師和航空航天工程師表示,至少在某些情況下,可能的原因是惡意干擾。前空中交通管制員、現任佛羅里達州安柏瑞德航空航天大學航空交通管理副教授馬丁·勞斯表示,在最好的情況下,GPS 干擾將導致嚴重的延誤,因為飛行員被迫重新規劃航班的最後幾英里航線,從而給航空公司和乘客造成損失。癱瘓的 GPS 可能會關閉機場。如果有人入侵紐約市大都會區主要機場的 GPS 和儀表著陸系統,將沒有容易的地方可以傳送到達的飛機。特別是跨大西洋航班將開始耗盡燃料。
雖然我們認為 GPS 是一種方便的工具,可以幫助我們找到去餐館和聚會場所的路線,但衛星星座的定時功能現在是國土安全部 (DHS) 認定的 16 個“關鍵”基礎設施部門中每一個部門的組成部分。蜂窩電話網路、金融市場、電網、緊急服務等等都依賴於定時以進行基本操作。然而,GPS 是脆弱的。由於無線電波必須傳播很遠的距離——衛星和地球上的接收器之間超過 12,000 英里——訊號很弱,很容易被覆蓋,或者像馬尼拉發生的那樣被“干擾”。它們也很容易被“欺騙”:來自軟體無線電(一種可以透過筆記型電腦上的軟體建立的廣播)的略強訊號可以傳遞虛假訊息或重放注入虛假資訊的真實訊息,從而使接收器相信它在某個地方,或某個時間,而不是真實的位置或時間。
在關鍵基礎設施中,幾微秒的誤差都可能導致級聯故障,從而擾亂整個網路。德克薩斯大學奧斯汀分校航空航天工程副教授託德·漢弗萊斯,以及美國國家空間定位、導航和定時諮詢委員會(一個聯邦委員會)成員、一家大型國防承包商的前高管達納·戈沃德,都告訴《大眾科學》,他們現在擔心外國對手或恐怖組織可能會協調多次針對 GPS 接收器的干擾和欺騙攻擊,並嚴重降低電網、蜂窩電話網路、股票市場、醫院、機場等的功能——所有這些都同時發生,而不會被檢測到。
真正令人震驚的是,美國的競爭對手並沒有面臨這種脆弱性。中國、俄羅斯和伊朗都有地面備用系統,GPS 使用者可以切換到這些系統,並且這些系統比基於衛星的 GPS 系統更難被覆蓋。美國未能實現 2004 年的總統指令,即建立這樣一個備用系統。美國尚未發生實際的災難;如果發生過,決策者最終會採取行動。但正如災難專家喜歡指出的那樣,美國似乎總是為上次的災難做準備,而不是為即將到來的災難做準備。
GPS 衛星 (1) 為資料中心(例如新澤西州錫考克斯的這個資料中心 (2))提供精確的定時,這些資料中心協調主要證券交易所的交易。圖片來源:洛克希德·馬丁 (1);張 W. 李 紐約時報 和 Redux 圖片社 (2)
依賴性成為目標
當前的 GPS 是一個由 31 顆衛星組成的網路,稱為 Navstar,由美國空軍的太空飛行中隊運營。為了保持精度,飛行中隊每天最多三次透過從卡納維拉爾角到誇賈林環礁的四個天線網路向衛星傳遞協調世界時,因為衛星在頭頂飛過。由於每顆衛星都裝載了原子鐘,因此它們保持的時間精度在 40 納秒以內——在對廣義相對論進行調整後,廣義相對論使衛星上的時鐘每天比地球上的時鐘快約 45 微秒,而狹義相對論使它們慢 7 微秒。
每顆衛星持續在多個頻率之一上廣播二進位制程式碼。軍用和民用使用者獲得獨特的廣播,透過特殊的程式碼位以及彼此相位相差 90 度來分隔。訊號包含資料包,這些資料包編碼時間、衛星在傳輸時刻的位置以及其他衛星的軌道和狀態。智慧手機中的 GPS 接收器透過計算無線電訊號從發射衛星傳播所需的時間來計算其位置,這提供了它們與手機的距離。接收器至少需要四個訊號才能準確確定其位置和時間,這就是為什麼您可能會在曼哈頓下城的摩天大樓或威尼斯的狹窄小巷中迷失方向。美國的關鍵基礎設施有許多接收器,它們同步執行。*
駭客可以透過用毫無意義的噪聲淹沒訊號來干擾訊號,或者他們可以透過向接收器饋送虛假的時間或座標來欺騙訊號,這將使接收器在時間或空間上迷失方向。一旦一臺裝置失去了正確的時間,它就可以將欺騙時間傳送到其網路上的其他裝置,從而擾亂整個複雜系統並降低其執行效率。
工業界尤其依賴 GPS,因為它是地球上最精確的計時方法,而且是免費的。在 GPS 出現之前,電網運營商只能估計其輸電線路上的負載,這導致效率低下;如今,GPS 定時使他們能夠跟蹤電網狀態並根據即時需求最佳化執行。金融市場曾經將其系統時間設定為牆上的時鐘。即使在交易計算機化之後,不準確的計時和不協調的交易仍然很普遍,因為早期的軟體使用計算機內部的時鐘,該時鐘由人工與國家標準與技術研究院 (NIST)(該國的計時機構)的官方時間對齊。如今的金融系統,從街角熟食店的信用卡機到股票市場,都使用 GPS 對交易進行時間戳和驗證,從而使零售商無需在一天結束時傳輸銷售額,並實現了當今如此普遍的全球超高頻交易。
蜂窩電話網路使用 GPS 來分解、傳遞和重新組裝資料包,並在電話移動時將呼叫從一個基站切換到另一個基站。電子病歷用 GPS 時間蓋上時間戳。電視網路使用 GPS 向廣告商證明他們的廣告在他們付費的時段內播出。全球範圍內,使用了超過 20 億個 GPS 裝置。
對 GPS 的巨大依賴是一個誘人的目標。GPS 是脆弱的,併為混亂提供了機會,並且已經展示了破壞它的能力。唯一不確定的因素是,憤怒的個人或團體是否會選擇 GPS 作為攻擊的工具。答案似乎越來越肯定。漢弗萊斯說:“我們現在有正在進行的國家贊助的欺騙演示。”
其中一個國家是俄羅斯。今年 3 月,華盛頓特區一家研究非營利組織高階國防研究中心確定了近 10,000 起事件,這些事件源於包括俄羅斯聯邦、克里米亞和敘利亞在內的 10 個地點。美國政府和學術界的專家表示,伊朗和朝鮮也具備這種能力。戈沃德說:“許多國家和組織”都擁有這種能力。
一位多次向國會發出警告的政府顧問、一位國防承包商前高管以及一位在匿名情況下發言的前聯邦官員告訴《大眾科學》,針對美國各種系統的協調欺騙-干擾攻擊將是容易、廉價且災難性的。戈沃德說:“它可以大規模和有選擇地實施。” 一臺欺騙裝置的成本約為 5,000 美元,並且可以在網上找到說明。然而,防禦起來很困難:“即使是針對最基本威脅的相對簡單的欺騙緩解功能也遠非易於實施,”歐洲空中交通管制機構 Eurocontrol 的導航基礎設施工作人員 Gerhard Berz 在行業雜誌 Inside GNSS 中寫道。
圖片來源:本·吉蘭德
圖片來源:本·吉蘭德
圖片來源:本·吉蘭德;資料來源:國家海事 PNT 辦公室(美國發射器地圖)
分散式攻擊
對美國基礎設施的大規模協調攻擊可能由 10 或 12 名擁有合適裝置的人員在全國各地分散進行。2001 年 9 月 11 日,19 名基地組織特工在美國改變了歷史,但懷有敵意的 GPS 破壞者不需要對上帝抱有自殺式的虔誠、飛行飛機所需的技術培訓或謀殺駕駛艙機組人員的殘暴。可能唯一阻止 GPS 攻擊的是國際法,國際法承認電子戰如果造成類似暴力行為的影響,則等同於暴力行為。廣泛地癱瘓民用基礎設施很可能引發美國的軍事反應,至少到目前為止,這可能已經阻止了對手。
儘管協調的 GPS 定時干擾-欺騙攻擊造成的生命損失可能少於 9/11 事件,但其破壞性影響可能更廣泛。一種情況可能包括將全國各地幾個主要十字路口的紅綠燈更改為在所有方向上都顯示綠燈。附近的建築物中的駭客將在筆記型電腦上開啟一個軟體無線電。它將生成交通訊號燈使用的全球導航衛星系統提供商的無線電頻率載波、噪聲程式碼和資料位的虛假副本。為了誘使交通訊號燈鎖定虛假訊號,欺騙者將擾亂交通訊號燈的常規跟蹤程式,導致其嘗試重新獲取訊號。如果虛假訊號更強,交通訊號燈很可能會選擇它。現在可以訪問交通訊號燈的控制器,駭客可以向其饋送不正確的時間,從而在東西向訊號變為紅色之前啟用南北向訊號的綠燈。
不同十字路口或不同城市的幾名駭客可以協調攻擊。或者他們中的一個人可以在一個城市引發一系列十字路口中斷。當我就此情景向一位舊金山交通訊號燈電工主管提出時,他密切參與了該市交通訊號燈控制櫃的採購,他認為沒有任何人可以透過無線方式連線到 GPS 並更改其時間設定。然而,舊金山在其交通訊號燈中使用的 Garmin GPS 模組沒有采用任何反欺騙保護措施;相反,製造商的技術規範宣告,為了符合聯邦通訊委員會的規定,Garmin 裝置必須接受它遇到的任何無線電頻率干擾,即使這種干擾可能會擾亂模組的讀數。
並非每個城市都使用 GPS 來定時交通訊號燈,但替代方案不一定更好。德克薩斯州交通運輸部聖安東尼奧區交通運營經理戴爾·皮查表示,該區一直在逐步淘汰交通訊號燈控制櫃上的單個 GPS 接收器,而是選擇從蜂窩網路獲取時間。但這些網路也可能被欺騙。
在交通事故中受傷的人可能不得不等待一段時間才能獲得幫助,因為護理人員的無線電依賴於 GPS 定時。當 2016 年幾顆 GPS 衛星因故障提供不正確的時間時,北美幾乎每個急救人員系統都遇到了通訊問題。
更大的目標將是全球金融系統。在新澤西州一片沼澤地中,距離大都會人壽體育場兩英里,每天都有價值數萬億美元的金融工具以位元和位元組的形式進行交易。那裡的 Equinix 資料中心託管著 49 個交易所,包括紐約證券交易所。紐約證券交易所前全球網路服務主管安德魯·F·巴赫表示,在對股票交易進行時間戳的 GPS 接收器中引入錯誤將“給金融行業的運營注入混亂”。摩根大通表示,看到情況不妙,計算機(現在佔市場交易量的 60%)可能會決定袖手旁觀。麻省理工學院斯隆管理學院金融學教授安德魯·洛說:“當太多人同時湧向出口時,我們就會遇到真正的問題。它很容易導致閃電崩盤 [股價突然大幅下跌] 或更持久的事件。”印第安納大學凱利商學院金融學副教授諾亞·斯托夫曼說:“我很容易想象,破壞 GPS 會造成災難性的經濟後果。”
當紐約市場搖搖欲墜時,攻擊者可以通過幾乎每個當地變電站都常見的硬體攻擊內陸地區的電網。普拉特河電力管理局位於科羅拉多州朗蒙特的福特漢姆變電站,距離我最近居住的地方丹佛以北 35 英里,其裝置和潛在攻擊者容易接近的程度都具有代表性。露天裝置坐落在 Holiday Inn Express 酒店拐角處的一堵 12 英尺高的牆後面,將數英里外的大型燃氣發電廠產生的高壓輸電線路中的電力降低到當地線路可以為朗蒙特和附近三個城市的 348,000 個家庭和商業客戶供電的水平。
在約六英畝的設施中散佈著金屬箱,裡面裝有相量測量單元 (PMU),用於監控電網的狀態。PMU 的定時由 GPS 設定。太平洋西北國家實驗室的電氣工程師傑夫·達格爾是美國電網專家,他堅稱,由於 PMU 對電網的實際執行並不關鍵,因此欺騙它們不會導致停電。但 NIST 2017 年 9 月的一份報告認為,對 PMU 的欺騙攻擊可能會迫使發電機離線。報告稱,幾臺大型發電機的突然損失“將造成瞬時供需失衡和電網不穩定”——可能導致停電。漢弗萊斯和他的同事在實驗室環境中演示了這種定時故障。儘管 PMU 位於牆後,但它們的 GPS 接收器可能會在四分之一英里外的酒店房間內被欺騙。美國有 55,000 個變電站。
戈沃德和漢弗萊斯警告公用事業公司高管他們面臨的危險,他們說很少有人意識到。他們堅持認為,更少的人制定了充分的應急計劃(其中一些計劃也依賴於 GPS)。戈沃德說,監督電網網路的人工控制員“可能在幾個小時內都不會想到 GPS 可能是問題的來源”。此外,他指出,“攻擊者將能夠在相當長一段時間內掩蓋他們的行為。”
停電是代價高昂且危險的,但欺騙飛機可能會提供最大的戲劇性。漢弗萊斯和 Eurocontrol 的 Berz 都認為這將是困難的,但並非不可能。軍用飛機使用一種稱為選擇性可用性反欺騙模組的裝置,但這並非民用飛機的強制要求,並且政府嚴格限制部署。培訓空中交通管制員的勞斯告訴我,飛行員還有其他著陸選擇。然而,主要的備用方案是機場的儀表著陸系統,該系統為飛機提供水平和垂直引導以及到著陸點的距離。該系統在無線電波上執行,並且是為安全而不是安全而構建的,因此它是未加密的——這意味著人們可以透過誘使飛機的接收器鎖定虛假訊號來欺騙它。
提高韌性
社會對 GPS 的依賴只會增加。支援 5G 的物聯網將嚴重依賴 GPS,因為裝置需要精確的定時才能彼此之間以及跨網路同步。機器將需要為人工智慧和增強現實應用程式生成的“映象世界”也將如此。
儘管國土安全部承認這種威脅,但並非所有人都對它正在做的事情——或沒有做的事情——感到滿意。國土安全部定位、導航和定時辦公室主任詹姆斯·普拉特表示,該機構正在與 NIST 合作,為不同型別的接收器制定不同級別的安全性。國土安全部還進行年度演習,使裝置製造商能夠測試其機器的抗攻擊能力。結果不公開,但與 GPS 合作了 40 年的顧問洛根·斯科特表示,“許多接收器在暴露於干擾和欺騙時表現不佳。”
反欺騙是一個蓬勃發展的研究領域,過去幾年發表了數百篇論文。例如,在欺騙攻擊期間,真實 GPS 訊號的殘餘物會在接收器上表現為失真。專用接收器可以監控這種失真,並在檢測到失真時發出警報,但欺騙者可以生成訊號來消除失真。漢弗萊斯說:“沒有萬無一失的防禦措施。您可以嘗試做的是透過部署反欺騙保護措施來讓您的對手付出代價。” 然而,如果配備合適的裝置,欺騙者可以克服這些保護措施。保護措施和新威脅在無線電頻率頻譜的軍備競賽中不斷發展。“如果你的對手恰好是俄羅斯聯邦,”漢弗萊斯說,“祝你好運。”
如果美國建立像其他國家維護的那樣的備用定時系統,軍備競賽可能會得到緩解。2018 年 12 月,唐納德·特朗普總統簽署了《國家定時彈性與安全法案》,該法案指示交通部 (DOT) 在 2020 年之前建立一個“陸基、彈性且可靠的備用定時系統”。但該法案和總統都沒有為這項事業提供資金。
批評人士(如戈沃德和其他人)表示,這項法律只是美國政府反應不足的最新例證。國土安全部在 2001 年釋出了一份關於 GPS 漏洞的報告。喬治·W·布什總統在 2004 年指示國土安全部和交通部建立一個備用系統。國防部副部長和交通部副部長在 2015 年告訴國會,他們將合作開發一個名為 eLoran(增強型遠端導航)的系統,該系統完全符合 2018 年法案的要求。國會多年前資助了一個 eLoran 試點計劃,但沒有花費一分錢的資金。交通部助理部長亞當·沙利文在 5 月 8 日致眾議院交通和基礎設施委員會主席彼得·德法齊奧的信中表示,交通部“計劃在 2019 年底前開展技術現場演示……能夠為關鍵基礎設施提供備用 [定位、導航和定時] 服務”。9 月,交通部發布了提案徵集,一週後,德克薩斯州參議員特德·克魯茲和馬薩諸塞州參議員埃德·馬基致信交通部長,詢問究竟是什麼耽擱了這麼長時間。
eLoran 系統將透過傳遞比 GPS 的超高頻訊號強得多的低頻無線電訊號,從而使干擾和欺騙幾乎無關緊要,因此幾乎不可能被覆蓋。戈沃德和加利福尼亞州眾議員約翰·加拉門迪表示,eLoran 的計劃是透過公私合作伙伴關係建造大約二十幾個巨型天線,這些天線是實現全國覆蓋所必需的,約翰·加拉門迪一直在敦促幾屆政府採取行動。據報道,美國空軍和五角大樓也在研究其他潛在的備用系統。各個國家維護的備用系統本質上都是 eLoran 的各種版本。
即使明天開始工作,eLoran 也需要數年才能建成。設計、製造和交付給客戶能夠接收訊號的新裝置和接收器將需要更長的時間。雷神公司前網路系統主管弗蘭克·普勞茨奇也曾在休斯航天與通訊公司從事航天系統工作,他說:“四年是很樂觀的估計。”
另一種全球補救措施是在衛星源處使用數字簽名來更改 GPS 訊號,以驗證資料並部署密碼學中常見的公鑰基礎設施。但來自當前衛星星座的訊號無法更改。一位空軍發言人表示,目前沒有計劃將數字簽名納入正在洛克希德·馬丁公司位於丹佛西部的安全設施中建造的下一代衛星。
儘管如此,普拉特對關鍵基礎設施的韌性充滿信心。他說:“我們已與行業界討論,以確保他們制定了緩解策略。” 戈沃德的回應是:“建議吉姆關閉 GPS 24 小時,看看會發生什麼。”
*編者注(2019 年 11 月 22 日):此段已在釋出後修訂,以更正對 GPS 衛星傳送的民用和軍用訊號如何區分的描述。