Сергеич (fin_factory) wrote,
Сергеич
fin_factory

Category:

Почему нельзя перехватить управление пассажирским авиалайнером



Никого, наверное, не должно удивлять, что в отношении недавней катастрофы украинского самолёта под Тегераном российская пропагандистская машина повела себя в максимально свойственной ей манере, засоряя информационное пространство мусором в попытках стереть границу между правдой и ложью. В первые же сутки после трагедии блоги и ленты заполнились версиями разной степени бредовости, как, например, дистанционный перехват управления самолётом спецслужбами США, столкновение с американским дроном, или даже атака с использованием ракеты «воздух-воздух», запущенной с американского дрона. Этот маховик не остановился даже после того, как иранские власти подтвердили, что самолёт был сбит иранской ПВО. Напротив, появились новые сногсшибательные версии трагедии. Якобы иранцы просто вынуждены были сбить лайнер, поскольку на нём улетал из страны предатель, выдавший план передвижений Сулеймани. Или же на самолёте был дистанционно отключен транспондер, благодаря чему иранские ПВО не смогли распознать, что самолёт гражданский, и сбили его в качестве законной цели. Как видим, пропагандисты весьма изобретательны в попытках отвлечь общественное мнение от очевидных параллелей между катастрофой украинского самолёта под Тегераном и гибелью рейса MH17, сбитого из российской установки ПВО в 2014 году. Сегодня мы разберём одну пропагандистскую версию, которая на самом деле может ввести неподготовленного читателя в некоторое заблуждение, а именно версию о дистанционном перехвате управления самолётом.

Сразу отметим, что «версией» это предположение можно назвать только с большой натяжкой, поскольку оснований для него нет абсолютно никаких. Не было ни одного исторического прецедента, ни одного достоверного сообщения о технической возможности такого перехвата, как не было и никаких свидетельств, признаков и предпосылок того, что такой перехват мог состояться в ночь крушения рейса. Иными словами, версия о дистанционном перехвате – это очередная конспирологическая спекуляция. С прочими конспирологическими теориями эту версию объединяет в том числе то, что её приверженцы, так же как и, например, сторонники теории лунного заговора, ни ухом ни рылом в вопросах, о которых пытаются судить.

Некоторые договариваются до того, что, мол, на современных лайнерах всё управление компьютерное (fly-by-wire, мол), так что делов надо было сделать: залить прошивку, которая возьмёт на себя управление в определённый момент времени, влючит автопилот, и не будет реагировать на действия пилотов.

Тут можно было бы просто возразить, что на семействе Boeing 737NG, к которому принадлежал сбитый самолёт, никакого fly-by-wire просто нет. Мы же, однако, рассмотрим более общий вопрос, а именно: насколько вообще возможно совершить провокацию путём дистанционного перехвата управления современным авиалайнером.

Прежде всего отметим, что уточнение по поводу провокации является исключительно важным в этом контексте. Для того, чтобы напакостить пилотам и, возможно, угробить самолёт, управление ведь перехватывать совсем не обязательно. Немало неприятностей может доставить экипажу, например, spoofing-атака на систему инструментальной посадки – ILS. Теоретически, атака эта может заключается в том, что злоумышленник, располагающийся где-нибудь в створе посадочной полосы, может генерировать сигнал, имитирующий работу системы ILS, но формирующий при этом посадочную траекторию со смещением от безопасной глиссады. Если такой сигнал будет захвачен приёмниками заходящего на посадку самолёта, то в условиях плохой видимости это может закончиться трагедией. Такая атака, однако, для осуществления провокации решительно не подходит. Во-первых, способ этот крайне ненадёжный. Наиболее вероятно, что на атакуемом самолёте должным образом среагируют либо пилоты, либо система автопосадки (в контур которой включены не только приёмники ILS, но и радиовысотомеры), в результате чего самолёт уйдёт или на второй круг, или вообще на запасной аэродром. Для того, чтобы попытка устроить катастрофу с помощью атаки на ILS удалась, злоумышленнику придётся стоять под идущими на посадку самолётами и спуфить всех подряд – авось кто-нибудь зазевается и разобьётся. При этом пилоты, избежавшие катастрофы, будут докладывать об аномалиях в работе ILS. Доложат раз, доложат два, а дальше, Шура, ваши кудри ваша незаметная машина с незаметной антенной, часами стоящая под пролетающими самолётами, примелькается, и вас начнут просто бить. Про целенаправленное уничтожение таким способом нужного борта можно вообще забыть – слишком мала вероятность успеха и слишком велик риск попасться.

Главное, однако, – в случае провокации авиакатастрофа сама по себе вообще не является целью. Авиакатастрофу в целях провокации устраивают, когда в ней нужно обвинить кого-то другого. При этом события, предшествующие организуемой катастрофе, должны складываться таким образом, чтобы в глазах общественности подставляемая сторона имела бы мотив, средства и возможности сбить подставляемый самолёт. Вряд ли принесла бы какие-либо плоды попытка обвинить некую условную ближневосточную страну в катастрофе самолёта где-нибудь над Патагонией. В то же время версия о причастности этой условной страны к катастрофе самолёта над собственным районом ПВО рядом с собственной столицей, как минимум, не должна исключаться из рассмотрения, особенно когда в связи с обострением международной обстановки силы ПВО этой самой страны приведены в состояние повышенной готовности. Таким образом, для успешной провокации её нужно осуществлять строго в определённом месте в определённый момент, иначе легенда не сложится.

Сделав необходимые пояснения, перейдём к технической стороне вопроса. В качестве примера мы возьмём Airbus A220 (бывший Bombardier C Series). Во-первых, это полноценный fly-by-wire самолёт, в отличие от древнего NG, во-вторых, материалы по ознакомлению с системами этого самолёта прекрасно иллюстрированы, а в-третьих, этот самолёт автору просто ближе, поскольку делают его не совсем чужие автору люди.



Итак, за автоматическое управление самолётом отвечает AFCS – Automatic Flight Control System. Особо следует отметить, что это не один компьютер или программа, а совокупность нескольких компьютерных модулей и приложений, объединённых по шинам ARINC 429 и AFDX.



AFCS состоит из следующих компонентов. Flight Guidance и Autothrottle – хостятся в DMC (Data Main Concentrator). На самолёте есть два модуля DMC, установленных в среднем отсеке авионики в передней стойке слева и справа по борту.



Autopilot и Autoland – хостятся в PFCC (Primary Flight Control Computer). На борту три таких компьютера: два в носовом отсеке авионики в задней стойке и один в среднем отсеке в передней стойке



Задача Flight Guidance – вырабатывать указания по маневрированию в соответствии с выбранным пилотами режимом и, во-первых, выдавать эти указания на основной пилотажный дисплей, а во-вторых – передавать эти указания в PFCC в качестве вводных данных для автопилота, если он задействован. Режим пилоты выбирают на панели FCP (Flight Control Panel).



В режиме HDG, например, пилоты задают нужный им курс (для этого они крутят Heading Select Knob), после чего Flight Guidance выдаёт им на экран указатель (директорную метку), в какую сторону им нужно отклонять сайдстик, чтобы самолёт на этот курс в итоге вышел. На видео внизу наглядно демонстрируется, как эта директорная метка выглядит (появляется после отрыва).



Важно отметить: приложение Flight Guidance не имеет при этом никакого представления, где самолёт находится, оно не содержит навигационных карт, не может обратиться к навигационной базе данных, и не выполняет сложных навигационных вычислений. Всё, что ему доступно, – это пространственное положение самолёта, которое предоставляется IRS (Inertial Reference System), и своими указаниями Flight Guidance просто стремится привести фактическое пространственное положение к тому, что задают пилоты.

Пилотам же, как ни крути, надо знать, где они находятся в данный момент, и куда им в итоге надо попасть. Для этого на борту у них есть пачка «Беломора» Flight Management System. Вот эта система уже содержит навигационные карты и способна определить текущее местоположение самолёта на основании данных системы спутниковой навигации GNSS (Global Navigation Satellite System), а также данных от радиомаячных навигационных систем (VOR, DME, ADF).

Приложение FMS хостится в Common Computer Module (CCM), который устанавливается в один из слотов Integrated Processing Cabinet (IPC). Всего на борту есть два CCM с FMS, расположенные в IPC 1 и IPC 2. Всего на борту есть 4 IPC, все они расположены в носовом отсеке авионики в задней стойке.



FMS рассчитает время в пути, определит наиболее экономичный профиль полёта, поможет с заходом на посадку и много чем ещё. От пилотов только требуется предварительно ввести полётный план (конечный пункт и необходимые промежуточные точки). Если на панели FCP пилоты выберут режим LNAV, то Flight Guidance будет использовать в качестве вводных данные FMS, то есть, им ничего не надо будет больше крутить: система будет автоматически выдавать им подсказки (директорную метку) в соответствии с полётным планом до самого пункта назначения. При этом самолётом управляют всё ещё пилоты с помощью сайдстика. Процесс этот сводится к совмещению центральной метки на пилотажном дисплее с директорной меткой и напоминает какую-нибудь компьютерную аркаду из ранних 80-х. Именно это имеют в виду современные пилоты, когда говорят о «ручном управлении».

Когда пилоты отклоняют сайдстик или нажимают на педали, соответствующие сигналы направляются одновременно в три модуля IIM (Inceptor Interface Module), расположенные рядом с PFCC.



Получив сигнал, каждый из IIM немедленно переправляет его одновременно в три PFCC. В составе каждого из этих PFCC находится система fly-by-wire (FBW), которая обрабатывает этот сигнал и рассчитывает, какие управляющие поверхности нужно отклонить, и насколько их нужно отклонить.



Результаты расчётов через те же IIM пересылаются в Remote Electronic Units (REU), которые непосредственно управляют положением управляющих поверхностей. Информацию о текущем положении поверхностей и о нагрузке на них REU пересылают обратно в PFCC всё через те же IIM.



Все три PFCC постоянно обмениваются информацией между собой. Если каждый из них работает нормально, они решают между собой, какой из них будет главным (active). Два остальных, соответственно, становятся резервными (standby). Каждый PFCC представляет собой фактически два почти идентичных компьютера в одном корпусе – Command Lane и Monitor Lane. «Почти» – потому что функционально программное обеспечение на них одинаковое, а вот непосредственно исполняемый код – разный. Обе линии выполняют расчёты независимо, и результаты расчётов постоянно сравниваются. Если у какого-то PFCC результаты не совпадают, он перестаёт считаться надёжным и исключается из управления – до поры. До тех пор, пока хотя бы один PFCC считается надёжным, система оперирует в Normal Mode.



Если результаты расчётов вдруг перестанут совпадать у всех полётных компьютеров, система перейдёт в Direct Mode, то есть, будут потеряны защиты по углам тангажа, крена, и пр., а управляющие поверхности будут отклоняться на углы прямо пропорциональные отклонению сайдстика. Также система перейдёт в Direct Mode если, например, перестанут поступать сигналы с флюгеров угла атаки или приёмников воздушного давления, или если сигналы с этих датчиков будут сочтены недостоверными. Будучи признанным ненадёжным, PFCC всё ещё может быть способен передавать сигналы с сайдстика в REU, не вмешиваясь при этом в управление. Если признаны ненадёжными все PFCC на борту, но хотя бы один из них сохранил способность передавать команды с сайдстика, система перейдёт в PFCC Direct Mode.



Если все PFCC будут окончательно потеряны, то система перейдёт в REU Direct Mode, то есть, сигналы с сайдстика будут передаваться напрямую в REU.



Если уж и REU откажут, в резерве есть AFCU – полностью независимый модуль управления, хоть и не такой продвинутый, как PFCC.



AFCU Direct Mode – это последняя линия обороны, механического резервирования не предусмотрено (да куда уж ещё-то резервировать!)



Итак, с одной стороны у нас Flight Guidance в связке с FMS, с другой – fly-by-wire и управляющие поверхности, а в единую цепь всё это соединяет пилот, орудующий сайдстиком так, как ему подсказывает система. Управлять самолётом таким способом на протяжении всего полёта – это занятие достаточно сомнительной ценности. Ну, это как когда фотограф-любитель, впервые купив себе зеркальную камеру, переключает её в полностью ручной режим, а потом руками крутит колёсики, выставляя выдержку и диафрагму в полном соответствии с подсказками экспонометра. Если он доверяет настройкам камеры, то какой, спрашивается, смысл вручную подстраиваться под автомат? Проще перейти в автоматический режим: результат тот же, но хоть колёсики постоянно крутить не надо. Так и пилотам быстро надоедает гоняться за меткой по всему дисплею, поэтому они стремятся при первой же возможности включить автопилот (ну и автомат тяги, конечно).



Как уже было упомянуто выше, функция автопилота хостится в PFCC. По сути, она рассчитывает, насколько и куда нужно отклонить виртуальный сайдстик, чтобы самолёт следовал траектории, определяемой Flight Guidance. Автомат тяги, соответственно, управляет режимом работы двигателя в соответствии с заданным профилем полёта.

С автопилотом и автоматом тяги AFCS, наконец, обретает законченный вид.



Зачем же такая сложность, спрашивается? Почему бы всё не сделать в одном модуле на многоядерном «Эльбрусе» на современном и мощном процессоре? Ответ заключается в требованиях надзорных органов, которые для критических систем управления составляют немыслимую вероятность отказа менее 1 х 10^-9 на 1 час полёта (Level A Catastrophic). Такую надёжность можно обеспечить только многократным резервированием, разнородностью применяемого аппаратного и программного обеспечения, а также «разделением обязанностей» между модулями. Как мы видим, FMS способна ориентироваться в пространстве, но не имеет доступа к управляющим поверхностям. PFCC может шевелить элеронами, но понятия не имеет, где он находится. Теоретически, PFCC мог бы получать своё географическое местоположение, например, от модуля инерциальной навигации IRU (Inertial Reference Unit). Только вот что-либо сделать с полученными координатами PFCC всё равно не сможет. Ему просто нечем что-либо делать с координатами, поскольку на нём не установлено никаких навигационных приложений. По этой причине PFCC постоянно нуждается в направляющих подсказках (Flight Guidance) со стороны. Есть единственное исключение, когда PFCC может обеспечить себе Flight Guidance самостоятельно: автоматическая посадка. Имея в виду критичность процесса посадки, конструкторы, видимо, посчитали, что на этом этапе сконцентрировать все функци управления в PFCC будет безопаснее, чем распределять их по модулям. Для этого в PFCC есть приложение Autoland, которое может вырабатывать Flight Guidance на основе сигналов ILS. При заходе на посадку в автоматическом режиме по достижении высоты 1500 футов Autoland забирает управление и дальше рулит самостоятельно. Отключить его можно только отключив автопилот. FMS на этом этапе передаёт в PFCC только параметры полосы: длину, направление и уклон. Для посадки эта информация необходима, но для полёта бесполезна, а Autoland может ориентироваться только по сигналу ILS, поэтому если по каким-то причинам посадка не удаётся, и самолёт вынужден уйти на второй круг, по достижении высоты 400 футов PFCC возвращает навигационное управление FMS.

Итак, теперь, когда мы знаем, как работает автоматическая система управления самолётом, попробуем разобраться, как это управление можно перехватить. Прежде всего необходимо иметь в виду то, о чём мы говорили в самом начале, а именно: провокация сработает только тогда, когда она осуществлена в нужном месте и в нужное время. Заранее, однако, невозможно точно предсказать, где именно будет проходить маршрут полёта. Пилоты могут отклониться от намеченного маршрута по метеоусловиям, также могут вмешаться диспетчеры со своими указаниями – словом, даже если бы существовала некая гипотетическая возможность как-то перепрошить и запрограммировать систему управления самолётом, чтобы самолёт, игнорируя пилотов, совершал бы определённые манёвры в определённое время – это всё было бы бесполезно, поскольку велика вероятность того, что в то самое определённое время самолёт окажется совершенно не там, где ему предполагалось бы быть в соответствии со сценарием провокации. Короче говоря, для осуществления провокации злоумышленники должны установить дистанционный контроль над самолётом в режиме реального времени с обратной связью. В этом свете особенно забавно выглядит тот аргумент конспирологов, что, мол, тот факт, что на сбитом под Тегераном украинском самолёте транспондер замолчал сразу после взлёта, доказывает, что контроль над самолётом был перехвачен. На самом деле мнимым злоумышленникам работающий транспондер был бы чрезвычайно выгоден, поскольку предоставлял бы бесплатную возможность отслеживать координаты самолёта в режиме реального времени (ну, почти) без необходимости что-либо переделывать, перепрограммировать или перепрошивать.

Чтобы понять, насколько это реалистично – установить дистанционный контроль над самолётом, – нам придётся поближе присмотреться к устройству бортовых радиокомплексов – навигационного и коммуникационного.

Управление всеми радиосредствами на борту осуществляется через два дублирующих друг друга модуля RIU (Radio Interface Unit). Через эти модули осуществляется как передача данных, так и настройка приёмников на нужную частоту. В дальнейшем, для простоты на схемах RIU показаны не будут, но следует иметь в виду, что всё взаимодействие между приёмо-передатчиками и остальными системами самолёта осуществляется через эти модули.



Настройку можно осуществлять вручную как с панели настройки CTP (Control Tuning Panel), так и с одного из основных дисплеев. Так же можно доверить настройку FMS, которая выполнит её автоматически.



В плане радионавигационных средств А220 ничем принципиальным не выделяется среди прочих современных авиалайнеров. На самолёте установлен вполне стандартный набор: VOR/DME (навигация с помощью азимутальных/дальномерных радиомаяков), ILS (система инструментальной посадки), MB (контроль пролёта маркерных радиомаяков), ну и, конечно, GPS. Опционально может устанавливаться антенна ADF (навигация по приводным радиомаякам).

На диаграмме ниже показано расположение антенн VOR, ADF, MB и ILS (для работы ILS на борту требуется минимум две антенны: LOC отвечает за курс, а GS - за глиссаду).



Сигналы от этих антенн поступают в навигационные приёмники VHF-NAV. Два из них расположены в среднем отсеке авионики в передней стойке. Опционально может устанавливаться третий - в носовой отсек авионики в заднюю стойку.



Как видно из схемы ниже, навигационные данные от приёмников VHF-NAV передаются на основной пилотажный дисплей, а также в FMS.



При включении режима автопосадки, если на самолёте не установлен опциональный третий приёмник VHF-NAV, антенна VOR выключается, и вместо неё включаются антенны ILS (LOC и GS). Как уже было упомянуто, информация от этих антенн передаётся напрямую в PFCC. Если самолёт оборудован третьим приёмником VHF-NAV, антенна VOR может работать одновременно с антеннами ILS.



Антенны DME показаны на отдельной схеме.



Для работы DME требуется не просто приёмники, а приёмо-передатчики. На A220 их два: один расположен в носовом отсеке авионики в задней стойке, а другой – в среднем отсеке в передней.



Так же, как и приёмники VHF-NAV, приёмо-передатчики DME выдают навигационные данные на основной пилотажный дисплей и в FMS



Средства спутниковой навигации в наши дни обязательно присутствуют на каждом авиалайнере. Справедливо это и для А220. На схеме внизу показано расположение спутниковых антенн. На борту есть два спутниковых приёмника, расположенных в переднем отсеке авионики в задней стойке – слева и справа по борту.



Через RIU информация со спутниковых приёмников передаётся в модули инерциальной навигации (Inertial Reference Units, IRU), а также в FMS.



Наконец, кроме радионавигационного у нас есть ещё радиокоммуникационный комплекс. Антенны этого комплекса расположены как показано ниже.



Антенны соединены с приёмо-передатчиками VHF-COM. Два из них расположены в носовом отсеке авионики в задней стойке, а третий – в среднем отсеке в передней стойке.



Радиокоммуникационный комплекс поддерживает как голосовой, так и текстовый радиообмен. В первом случае аудиосигнал передаётся от приёмо-передатчиков VHF-COM в аудиосистему (и обратно).



Также возможен обмен текстовыми сообщениями по системе ACARS (опционально - CPDLC). Общее представление об этих системах можно получить по схеме ниже.



За обработку сообщений на борту отвечает модуль Data Link. Приложение Data Link установлено на CCM, установленный в свою очередь в один из слотов IPC 1, так же, как и FMS.



О системе ACARS стоит рассказать более подробно. Итак, ACARS – это система обмена текстовыми сообщениями по радио между самолётом и наземными станциями. Самолёт, например, может передавать сообщения о состоянии систем и оборудования, о статусе рейса (вылетел, приземлился, прибыл), а наземные пункты могут передавать на самолёт метеоинформацию, статус стыковочных рейсов, а также – любимый пункт конспирологов – корректировку полётного плана. Ну вот представим себе, что какая-нибудь Air France посылает свой самолёт хер пойми куда из Парижа в Хошимин по новому для себя маршруту – через российское воздушное пространство. И вот пилоты, подлетая к Минску, с удивлением узнают от российских диспетчеров, что их авиакомпания забыла получить разрешение на пролёт, putain de bordel de merde! Допустим, у нас есть достаточно топлива, чтобы направить самолёт в обход России. В таком случае диспетчерская служба авиакомпании может оперативно подготовить альтернативный план полёта и передать его с помощью той самой ACARS на самолёт, нарезающий круги над Беларусью. Новый план отобразится у пилота на экране FMS. Выглядит это как-то так:



Пилот может как согласиться с новым планом, так и проигнорировать его. Если пилот соглашается, он пересылает новый план диспетчерам на пути следования, а также загружает его в FMS (Load). Ещё раз: именно пилот загружает полётный план в FMS. Без подтверждения пилота переход на новый полётный план невозможен.

Итак, мы перечислили практически все радионавигационные и радиокоммуникационные средства, которые могут поставлять вводные для автоматической системы управления (AFCS). Мы не упомянули лишь, пожалуй, систему предупреждения о столкновении с землей (Terrain Awareness and Warning System, TAWS), а также систему мониторинга траффика (Traffic Surveillance System, TSS). Обе эти системы, впрочем, связаны с AFCS лишь постольку, поскольку FMS поставляет им информацию о маршруте. Иными словами, ни TAWS, ни TSS не способны заставить самолёт маневрировать автоматически, поскольку они не поставляют для AFCS никаких вводных.

На этом перечень радинавигационных и радиокоммуникационных средств, взаимодействующих с AFCS, становится исчерпывающим. Какие бы ещё средства связи ни присутствовали на борту - спутниковый интернет, развлекательная система для пассажиров и тому подобное - все они физически отделены от AFCS. Об этом следует помнить, когда СМИ взрываются очередной сенсацией, мол, тот-то и тот-то оказались способными проникнуть в сеть на борту самолёта – значит, самолёт можно взломать! В десяти случаях из десяти это просто означает, что некто проник в Wi-Fi на борту, где у маршрутизатора логин и пароль были admin/admin.

Давайте теперь посмотрим, как всё это богатство радиосредств можно использовать для взлома. Предположим для начала, что все системы управления самолётом аппаратно и программно устроены именно так, как описано в руководствах по эксплуатации, обслуживанию и ремонту, то есть, не содержат «закладок», недокументированных возможностей и скрытого функционала. Давайте подумаем, как можно перехватить управление этим самолётом (спойлер: никак). По навигационным каналам VHF/DME мы ничего передать не можем. То есть, передать мы можем хоть азбукой Морзе, но чем этот сигнал будет принят, какое устройство будет его распознавать? Навигационные приёмники и аналогово-цифровой преобразователь в RIU, которые никак не запрограммированы на распознавание инструкций по управлению полётом? То же самое справедливо и для спутниковой навигации, и для голосовой связи. Остаётся только модуль Data Link, через который на борт на самом деле можно передавать сообщения – в частности, план полёта. Как, однако, уже было упомянуто выше, этот план не попадает в AFCS автоматически. Его туда (конкретно, повторюсь, в FMS) загружает пилот, который просто отклонит предложенный план, если сочтёт его необычным или подозрительным. К тому же, для того, чтобы самолёт следовал загруженному плану полёта, должны быть задействованы все компоненты AFCS. FMS должна быть в работе, на FCP должен быть выбран режим NAV, и, наконец, должен быть включен автопилот. Если хотя бы одно из этих условий не будет выполнено, толку от загруженного плана полёта не будет.

Несмотря на всё это, за неимением лучшей альтернативы, именно Data Link (чаще всего ACARS) становится объектом внимания конспирологов. Уже много лет на эту тему выступает, Хьюго Тесо – консультант по компьютерной безопасности и по совместительству пилот-любитель из Германии. По его утверждению, ему удалось найти способ, как продавить план полёта в FMS без подтверждения пилота, и якобы ему даже удалось это продемонстрировать в своей импровизированной лаборатории на реальных FMS, которые он купил на аукционе. Тесо нарисовал устрашающую картину, как управление самолётом может быть перехвачено с помощью андроид-приложения и взбудоражил общественность до такой степени, что FAA вынуждено было как-то отреагировать. По результатам проведённого FAA анализа выяснилось, что Тесо в своей импровизированной лаборатории использовал не настоящие FMS, а симуляторы, основанные на PC-архитектуре. Методы, которые он использовал, не сработали бы на настоящих FMS, которые работают под управлением операционных систем реального времени. В общем, о взломе системы управления самолётом с помощью сообщений, передаваемых на Data Link, также приходится забыть.

Возможно ли, однако, что-нибудь там эдакое в самолёте перепрошить, чтобы им потом можно было дистанционно управлять? Давайте сначала определимся, что конкретно мы будем перепрошивать. Самое простое – перепрошить Data Link и FMS, так чтобы план полёта на самом деле можно было пробросить с одного модуля на другой, не спрашивая пилота. Способ самый простой, но и одновременно самый ненадёжный, потому что FMS отнюдь не является критически необходимым элементом в системе управления. Пилот вообще может не переходить в режим NAV или не включать автопилот – в любом из этих случаев взлом FMS никак не поможет установить контроль над самолётом.

А что если копнуть глубже? Что если перепрошить сразу PFCC и контролировать его напрямую? Для этого нам надо решить, через какой канал связи нам удобнее до него достучаться. По идее, работать через Data Link всё равно удобнее всего, иначе нам придётся перепрошивать ещё и приёмники. В любом случае, нам надо перепрошить оба RIU, чтобы они пробрасывали данные от Data Link в PFCC. Наконец, нам надо перепрошить сами PFCC – три компьютера по две независимых линии в каждом. При этом нам обязательно надо сохранить штатный функционал PFCC, чтобы вплоть до нужного момента поведение системы управления не отличалось от нормального. PFCC ведь взаимодействуют с кучей других устройств, и если мы не хотим перепрошивать их все, нам придётся сделать так, чтобы каждое из этих устройств находило в PFCC знакомый ему интерфейс. Только обеспечив наличие штатного функционала, мы можем думать, как параллельно ему мы можем поставить наши троянские приложения. При этом надо помнить, что PFCC находятся под управлением операционной системы реального времени, то есть, приложения жестко разграничиваются в памяти и времени доступа к процессору. Это значит, что нам ко всему прочему потребуется ещё и откорректировать распределение памяти и таблицы прерываний. В общем, по факту нам предстоит заново спроектировать всё программное обеспечение полётного компьютера, причём отдельно для каждой линии. Надо будет обеспечить бесшовное сопряжение штатного и троянского функционалов в условиях операционной системы реального времени, а также обеспечить прохождение самодиагностики. Наконец, мало это спроектировать – это надо тщательно протестировать, потому что мы не хотим, чтобы самолёт с модифицированными таким образом полётными компьютерами потерпел катастрофу в первом же полёте. Короче говоря, создание такой прошивки отнимет не меньше усилий, чем создание компьютера с нуля – это тысячи и тысячи человеко-часов. И все ради чего, спрашивается? Ведь если пилот заметит аномалии в поведении PFCC, он их может просто выключить.



Да-да, вот так просто: три выключателя на панели – и самолёт перейдёт в Direct Mode, где управление осуществляется через REU или AFCU, которые вообще никак не сообщаются с внешним миром. Да, лететь вручную в Direct Mode – удовольствие из средних, но это вполне себе рабочий, штатный режим, благодаря которому пилот имеет неплохие шансы благополучно приземлиться – и привезти с собой вещественные доказательства в виде перепрошитого PFCC. Именно поэтому никакой производитель, даже если его очень попросят спецслужбы, не будет инвестировать тысячи человеко-часов в затею, которая практически гарантированно пойдёт не так, как задумано. Ведь если пилоты вернут контроль над самолётом (а они его точно вернут, перейдя в Direct Mode), то потом в ходе расследования инцидента факт перепрошивки полётного компьютера обязательно вскроется, и следы почти наверняка приведут к тому, кто эту вредоносную прошивку разработал. Для любого производителя авионики это будет означать немедленное прекращение существования. Пересмотр сертификатов и многомиллиардные иски прилагаются.

В общем, если некто в ходе какого-либо обсуждения начинает говорить о перехвате управления авиалайнером, можете быть уверены: это всё полная ерунда, не заслуживающая внимания.
Subscribe
  • Post a new comment

    Error

    default userpic
    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 298 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →