Lätt att manipulera AIS-systemet

Det finns förslag om att alla fiskebåtar måste ha AIS och dessutom ha AIS påslaget hela tiden. Detta som ett sätt att hålla reda på fiskebåtar i hela världen och därmed lättare kunna bekämpa tjuvfiske (illegalt fiske). Problemet är att det inte kommer att kunna vara speciellt effektivt. Informationen i AIS-systemet är lätt att förfalska och manipulera.

AIS-systemet fungerar på så sätt att det samlar in GPS-koordinater för ett fartyg och sedan delar denna information med omkringliggande fartyg, fyrar, bojar, stationer på land osv. Det fungerar därmed som ett komplement till radarövervakning av sjötrafiken och en del andra system:

Bakgrunden till att AIS utvecklats och införts är att ge tillgång till utökad information om fartygen i närområdet än vad som kan erhållas via radar. Till exempel ger AIS fartygens identitet och storlek och detta även för fartyg som befinner sig i radarskugga, till exempel bakom öar. I Sverige har Sjöfartsverket ett nät av landbaserade AIS-basstationer för att ta emot AIS-information från fartyg men också för utsändning av säkerhetsrelaterad information. AIS-information används bland annat för att förbättra sjötrafikinformationen, sjöräddningsinsatser och isbrytningsoperationer.

IMO beslutade 2001 att alla fartyg som följer SOLAS-konventionen och är större än 300 ton ska vara utrustade med AIS. Kravet trädde i kraft 2002 för nya fartyg. Sedan juli 2007 gäller kravet för alla fartyg. Enligt Trend Micro är idag runt 400.000 fartyg anslutna.

Problemet med AIS-protokollet är att det saknar alla former av säkerhetsspärrar. I stort sett all information i systemet går att manipulera. Kritik mot systemet har bland annat framförts av några forskare på företaget Trend Micro. De fokuserar främst på säkerhet i förhållande till pirater och terrorister och menar att systemet har mycket allvarliga säkerhetsbrister som kan leda till stora problem:

As the world becomes more connected to the “Internet of Things”, Trend Micro’s Forward Looking Threat researchers continue to look into technologies that could be abused by attackers in the near future. Earlier today at the HITB security conference in Kuala Lumpur, , two researchers from this team (Kyle Wilhoit and Dr. Marco Balduzzi), together with independent researcher Alessandro Pasta, presented a series of experiments that showed AIS is comprehensively vulnerable to a wide range of attacks that could be easily carried out by pirates, terrorists or other attackers. Trend Micro took care to carry out responsible disclosure to all of the major standards bodies involved in AIS, as well as major online providers of AIS tracking information.

The attacks can be divided into two parts. Firstly, we discovered that the main AIS Internet providers that collect AIS information and distribute them publicly have vulnerabilities that allow an attacker to tamper with valid AIS data and inject invalid AIS data, such as:

  • Modification of all ship details such as position, course, cargo, flagged country, speed, name, MMSI (Mobile Maritime Service Identity) status etc.
  • Creation of fake vessels with all the same details e.g. having an Iranian vessel with nuclear cargo show up off the coast of the US
  • Create and modify Aid to Navigations (AToN) entries, such as buoys and lighthouses. This leads to scenarios such as blocking the entrance to a harbor, causing a ship to wreck, etc.
  • Create and modify search and rescue marine aircraft such as helicopters, and light aircraft e.g. having a stationary search and rescue coast guard helicopter “take off” and travel on a set course.

Secondly, we have also discovered flaws in the actual specification of the AIS protocol used by hardware transceivers in all mandatory vessels. In addition to the above threats, we have proven additional scenarios:

  • Impersonate marine authorities to permanently disable the AIS system on a vessel, both forcing the ship to stop communicating its position, and stop getting AIS notifications from all nearby vessels (essentially a denial of service attack). This can also be tagged to a geographical area e.g. as soon as ship enters Somalia sea space it vanishes of AIS, but the pirates who carried out the attack can still see it.
  • Fake a “man-in-the-water” distress beacon at any location that will also trigger alarms on all vessel within approximately 50 km.
  • Fake a CPA alert (Closest Point of Approach) and trigger a collision warning alert. In some cases this can even cause software on the vessel to recalculate a course to avoid collision, allowing an attacker to physically nudge a boat in a certain direction.
  • Send false weather information to a vessel, e.g. approaching storms to route around.
  • Cause all ships to send AIS traffic much more frequently than normal, resulting in a flooding attack on all vessels and marine authorities in range

Kritiken mot AIS-systemet från Trend Micro har tagits upp på en rad sajter och i flera tidningar. En av dem är svenska Sjöfartstidningen där kritiken dock mötts av avfärdanden från en del sjöfolk. Avfärdanden som delvis innehåller rena felaktigheter som påståenden om att Trend Micro bara granskat Marinetraffic.com och inte AIS-systemet i sig etc. Men vissa delar av avfärdandena (skrivet av en person som kallar sig John Andrews) är intressanta:

Våra sjöbefäl vet mycket väl att AIS (liksom radar, etc.) kan ge bra kompletterande information – men att den måste ifrågasättas, och fartyget alltid måste kunna manövreras säkert utan den.

AIS har aldrig utformats för att vara ett ofelbart system – sådana system finns nämligen inte. Att, som artikelförfattaren antyder, mena att AIS-systemet automatiskt borde kunna urskilja och avvärja en falsk MOB-rapport, är absurt. Likaså tanken att amerikansk gränsbevakning skulle luras att kärnvapenbestyckade fiender är i antågande pga. att ett AIS-meddelande säger så.

Vidare ska man alltså ha “upptäckt” att AIS-transpondrar kan stängas av på distans. Detta är en “upptäckt” lika mycket som min “upptäckt” att en röd knapp på fjärrkontrollen stänger av min TV.
Detta är nämligen en funktion som avsiktligen designats in i AIS-systemet. “Upptäckten” hade kunnat göras genom att läsa manualen. Funktionen är tänkt att användas vid t.ex. räddningsinsatser, när behov finns av att tysta oviktiga transpondrar för att ge de intressanta mer utrymme på radiobanden.

Sett mot ovan diskuterad bakgrund – nämligen att AIS-systemet är ett välkommet komplement till övriga informationskällor (radar, kompass, ögon, öron, …) – och alltså inte ett system med garanterad integritet varpå man kan helt förlita sig – ter sig detta inte alls som någon extraordinär säkerhetsrisk.

Grundtanken bakom AIS och dess bakomliggande teknik STDMA (utvecklad av svensken Håkan Lans) är att systemet ska vara autonomt och oberoende av fast infrastruktur. Efter apokalypsen ska två fartyg mitt i indiska oceanen kunna sätta igång sina AIS-transpondrar och se varandra.

AIS-systemet är alltså enligt Andrews utformat för att inte vara säkert, inte vara tillförlitligt och därför kan det bara användas som ett komplement. Så används det också av de flesta myndigheter som reglerar, övervakar och styr sjöfarten runtomkring i världen. Han menar vidare att alla sjöbefäl vet om systemets begränsningar och innebonde brister. Men det är ju lite av problemet. Det finns säkerligen gott om sjöbefäl som är beredda att utnyttja systemet för egna syften. Antingen för ren vinning (piratverksamhet) eller som ett led i politisk kamp (terrorism etc).

Ur säkerhetssynpunkt finns det ju dessutom gott om farvatten där myndigheter har dålig koll och där AIS-systemen är viktigare än andra medel för att hålla ordning på fartyg. I sådana farvatten utgör ju säkerhetsproblemen i AIS-systemet risk för allvarliga problem med divers oegentligheter på det sätt som TrendMicro varnat för. Företrädare för SoundRep som övervakar sjöfarten i Öresund menar dock att problemen inte ska överdrivas:

SoundRep är ett samarbete mellan de danska och svenska sjöfartsmyndigheterna, och bara några kvarter ifrån Malmö Centralstation sitter ett 20-tal VTS-operatörer och övervakar trafiken genom sundet. Öresund är ett av världens mest trafikerade sjöområden och runt 35.000 fartyg går igenom sundet varje år.

När ett fartyg går in i SoundRep-området måste det lämna en obligatorisk rapport via VHF, mejl eller telefon. Mycket av informationen finns redan i AIS och rapporten ska bland annat innehålla planerad rutt genom sundet, djupgående, höjd över vattenytan, personer ombord, eventuella fel, last och destination

– Det finns VTS-områden utan radartäckning där AIS:en spelar en viktigare roll, men där har man ofta lots och fartygen har anmält anlöpet till hamnen och skulle någonting vara misstänkt upptäcks detta sannolikt. Så även om någon vill manipulera är det en hel del saker man måste ta sig förbi.

– Det som är viktigt är helt enkelt att betrakta AIS som ett komplement till övriga verktyg, inte som det enda. Och fortfarande är det så att ögonen och öronen är dina bästa redskap.

Dock är det ju hur lätt som helst för pirater att dölja var de finns eller för tjuvfiskande båtar och kylfartyg som transporterar illegalt fångad fisk att dölja i vilka vatten de egentligen fiskar. AIS-systemet kan uppenbarligen inte användas för att övervaka fiskebåtar och förhindra på ett effektivt sätt så som en del miljöorganisationer tycks förvänta sig. I de farvatten där tjuvfiske bedrivs så är ju ofta myndigheterna svaga eller helt utan lämplig infrastruktur eller kompetens för att på ett bra sätt övervaka farvattnen.

IMO som är ansvariga för AIS-systemet säger att de inte för närvarande för några diskussioner om förändringar.

Intressant?
Läs även andra bloggares åsikter om , , , , , , , , , , , , ,

Advertisements