Неизученные возможности цифровых интерфейсов

sky-flying-summer-aviation
airforce-1-996505_640

Введение  

Сайт посвящен системам управления транспорта, особенно в части касающейся информационного обмена – различным интерфейсам, протоколам, взаимодействию отдельных блоков системы между собой и всему, что с этим связано. По мере разработки будет производиться наполнение сайта. Вообще, планируется несколько разделов – информационная безопасность транспортных СУ и, отдельно – непосредственно СУ автотранспорта, ж/д и морского/речного транспорта.

Вся информация, которая будет здесь приведена, взята только из открытых источников, никаких конфиденциальных данных (и уж тем более секретных) здесь нет. Детализированной информации также не приводится.

 Автор не занимался именно авиационными системами управления, однако, занимался системами управления в общем и, подробно, - системами управления других видов транспорта с упором на взаимодействие с интерфейсами. Опыт - от разработки программного обеспечения (ПО) со всеми сопутствующими наладками и тестированием и вплоть до разработки стендов по испытаниям ПО и тренажеров операторов транспортных средств. Однако все повествование построено на примере авиации.

Подробно о всех приведенных примерах авиационных происшествий можно прочитать в Интернет.

Статья будет состоять из нескольких частей. В первой описывается новая угроза информационной безопасности, появившаяся относительно недавно. Она связана с дисбалансом информационных потоков в современных системах и является следствием общего технического прогресса и возможностей цифровых интерфейсов обмена.

После того, как опубликована первая часть, последующие части будут выложены не сразу - по отзывам возможна их корректировка. Отзывы прошу направлять по адресу alexogeo03@gmail.com.

Во второй части представлены теоретико – математические выкладки информационных интерфейсов в плане функциональности и самых «узких» мест известных использующихся интерфейсов в транспортных СУ с точки зрения безопасности. А также указаны профилактические меры и способы обнаружения новых угроз, способы и методы устранения и минимизации их последствий.

В третьей части проведен обзор существующей концепции испытаний на безопасность всех видов, и приведена совершенно новая концепция функциональных испытаний современных СУ, острая необходимость в которой уже назрела.

В четвертой, заключительной части, рассмотрены перспективные системы автоматического управления движением различных транспортных средств на основе интерфейсного подхода.

Часть 1. «Странности» Боингов или «навязанные» алгоритмы

Итак, говорить будем в основном о системах, под которыми подразумеваются СУ в виде аппаратно-программных комплексов  воздушных и морских судов и железнодорожного тягового подвижного состава, то есть о тех транспортных средствах, общая безопасность которых является чрезвычайно важной.

Небольшой экскурс в историю развития транспортных СУ с точки зрения «философии» их построения в привязке к технологическому прогрессу проведу на примере авиационных систем. Другие транспортные СУ в интересующем контексте развивались примерно тем же путем.

Условно, в плане информационного обмена, эволюцию СУ летательных аппаратов можно разделить на три периода.

На заре развития авиапромышленности, когда воздушные суда были тихоходными и небольшими, практически все управление летательным аппаратом осуществлялось механическим способом. Усилия пилота от штурвала и педалей передавались непосредственно через различные механические  «твердые» шарнирные или «мягкие» троссовые тяги на исполнительные устройства – элероны, закрылки, рули, заслонки тяги двигателей и проч.  Соответственно, степень срабатывания того или иного исполнительного элемента была пропорциональна степени прямого физического воздействия пилота на первичные органы управления. То есть, с точки зрения передачи информации этот период можно назвать периодом с «механическим способом передачи информации». 

 

Затем был этап, когда самолеты становились все больше  и сложнее, и прямое механическое управление становилось затруднительным и, порой,  попросту невозможным. Зато, в процессе развития технологий, стала возможной схема управления через автономные исполнительные устройства – различного рода электромеханические и гидравлические устройства, которые и создавали в конечном счете необходимое усилие на исполнительном элементе. Аналоговые электрические сигналы поступали к ним по проводам. Степень срабатывания того или иного устройства была прямо пропорциональна величине напряжения, тока или частоты, которые задавались первичными органами управления – штурвалом, педалями и переключателями. Относительно «нехитрая» логика управления осуществлялась с помощью контактной аппаратуры – реле и автоматических включателей. Параметры от первичных датчиков также поступали в аналоговом виде и анализировались преимущественно самим пилотом. Примерно в это же время появились и первые «полу-» автоматизированные системы управления полетом. Обобщенно этот этап можно назвать «периодом с электромеханическим способом передачи информации».

И, наконец, третий этап, начавшийся около четверти века назад, и длящийся по сей день,  – период цифровых технологий передачи информации. Характерен он тем, что аналоговыми остались только первичные чувствительные элементы датчиков. Все остальное – цифровое, начиная от тактовых частот и до способа передачи самой информации по соответствующим интерфейсам. Для примера – на одной из последних моделей Airbus аналоговым является только один датчик топлива. Благодаря этой технологии, например, на больших авиалайнерах стало возможным избавиться от  десятков километров проводов (соответственно, тонн меди), упростить технологию производства на порядки, унифицировать производство периферийных блоков и модулей, и, что очень важно, - также на порядки упростить разработку и тестирование работы алгоритмов системы управления.  По сути, в информационном плане, одна цифровая шина из витой пары способна заменить те самые «километры и тонны» проводов, да ещё и на гораздо более высоком уровне. То есть, в плане передачи информации нынешний этап по своей сути «цифровой».

Этот прогресс безусловно кардинально изменил саму философию систем управления, однако, по большей части произошел объективно, как бы «сам по себе», благодаря общему развитию технологий, потребностей человека и коммерческим законам.

Однако, как оказалось, у «цифрового» прогресса имеется и другая сторона.

… Собственно, о Боингах  - 8 марта 2014 года пропал Боинг 777-200 рейсом Куала-Лумпур - Пекин малазийских авиалиний, и 17 июля того же года упал Боинг того же типа рейсом Амстердам – Куала-Лумпур той же авиакомпании.

Оба инцидента, помимо очевидных совпадений, объединяет и то, что они до сих пор до конца не расследованы. Вернее, в случае Боинга над Донбассом конечная причина озвучена - «результат воздействия высокоэнергетических малых объектов», а вот события и предпосылки к ней приведшие до сих пор неизвестны. В СМИ и Интернет была масса информации по этим происшествиям, порой противоречивой, строилось десятки различных, в том числе фантастических гипотез..

Я не собираюсь официально выдвигать никаких версий того и другого события и делать далеко идущие выводы. Однако, эти два случая являются неплохой иллюстрацией появившейся относительно недавно опасности, которую несет в себе развитие цифровых технологий, и я лишь хочу показать, что практически относительно просто осуществимо и могло произойти на самом деле.

В случае прямых диверсий злоумышленники подрывают самолет или его сбивают. Причем диверсанты не заботятся о сокрытии способа диверсии, а наоборот, в абсолютном большинстве случаев намеренно делают это показательно и «с радостью» берут на себя ответственность.

Но, для решения более «интеллектуальных» задач такой подход не применим. Например, когда злоумышленникам не самим надо сбить или подорвать гражданский самолет, а необходимо вывести его незаметно для экипажа в такой район, где его собьют «другие». Которых до этого, допустим, ещё и дезинформировали о пролете в это время военного борта противника. А затем обвинить тех, кто сбил. Или вывести самолет на какую-нибудь военную базу в океане. Или по каким-то причинам прямая диверсия не входит в планы злоумышленников, а нужно, чтобы в отчете комиссии по расследованиям в причинах значилось: «Сбой системы управления» или «Техническая неисправность или ошибка пилотирования или сочетание этих факторов»...  

Далее будет показана относительно несложная техническая возможность осуществления угроз такого – «интеллектуального» плана.

Допустим, перед некими злоумышленниками одной из частных задач стоит - незаметный для пилотов перехват управления самолетом и отклонение от курса в нужной точке, в нужном направлении и на нужное расстояние без внешнего вмешательства. (Ещё раз повторю – я сознательно избегаю анализа мотивов злоумышленников и дальнейших действий, меня интересует сам факт технической возможности с точки зрения преднамеренного и заблаговременного вмешательства в СУ.)

Теоретически этого можно достичь, например, злонамеренными изменениями программного обеспечения бортовой системы управления. На этот счет были в Интернете соответствующие гипотезы. (Перехват и дистанционное управление, о котором также писали в нете, вообще не рассматриваются, в силу полной абсурдности, а речь идет лишь о возможности заранее заложенных злонамеренных алгоритмов в СУ. ) Однако, такие гипотезы могли выдвинуть только не специалисты по причине непонимания сложностей, связанных с разработкой соответствующих изменений: необходимостью знания в целом работы всего ПО, обязательностью тестирования на испытательных стендах, модульных, интеграционных и полетных испытаний и т.д. То есть, накладные расходы только на разработку, казалось бы, не очень больших изменений в ПО, велики, время исполнения сильно «зашкаливает» за любые разумные, оперативно обоснованные пределы. Без реальных тестовых испытаний – гарантий «нужного поведения СУ» никаких (в распоряжении необходимо было бы иметь, к примеру, испытательный стенд). Да и штат разработчиков необходим, как минимум, несколько человек – специалистов в различных аспектах систем управления, причем, сильно желательно тех, кто лично принимал участие в разработке штатной СУ. Кроме того, мало сделать, надо было бы ещё иметь свободный доступ к СУ для перепрошивки её ПО, что защищено особым образом на нескольких уровнях, начиная от организационных мероприятий и заканчивая жесткими техническими ограничениями.

При невыполнении даже одного из вышеперечисленных условий решить такую задачу практически невозможно…

В информационной безопасности много различных терминов и определений, и есть, в частности, понятия «Профиль (компетенция) потенциального злоумышленника» и «Накладные расходы на осуществление угрозы».  Так вот, чтобы решить задачу разработки и подмены ПО СУ нужно иметь исключительный профиль, по сути, сравнимый с возможностями штатной группы разработки, обладать сравнимыми компетенциями персонала, материально-техническим ресурсом и бюджетом, достаточным временем и обладать всеми правами доступа к СУ.

Характерно, что для летательных аппаратов первых двух этапов развития систем управления, описанных в начале статьи, решить поставленную задачу «интеллектуальной» диверсии практически невозможно. (Справедливости ради, надо сказать, что для летательных аппаратов с аналоговой СУ, это, видимо, все-таки по силам специалистам с определенными компетенциями и ресурсами – все зависит от возможностей и важности преследуемой цели, и об этом далее.)

Однако  прогресс цифровых технологий привел к тому, что, например, задача отклонения самолета от курса в «нужное» время и «нужном» направлении, стала по силам в принципе даже злоумышленнику-одиночке, не обязательно специалисту.

Показательно и то, что злоумышленнику при этом абсолютно нет никакой необходимости знать сложнейшие алгоритмы работы ПО СУ. Всю остальную необходимую и достаточную для осуществления злого замысла информацию о СУ конкретного лайнера в общем и частном виде, например, её структуру и основные принципы, и, необходимую детальную информацию, например, что и как расположено в отсеке авионики в том же Б-777, можно найти в Интернете. Вот, например, общая структура СУ Б-777-200 из нета:

1

В данном случае интересует САУ – система автоматического управления – автопилот (хотя в общем случае может быть использован не только автопилот, а любой блок, выполняющий интересующие функции). Что касается автопилота - показателен случай с A-310, выполнявшим демонстрационный полет в 1988 году, когда его САУ не дала пилотам нормально приземлиться, и «утянула» самолет в лес за посадочной полосой. Привожу этот пример не в качестве диверсии (чего и не было), а как иллюстрацию невозможности пилотами взятия управления «на себя», когда самолет управляется САУ при определенных условиях.