Identificación de una vulnerabilidad en redes críticas de naves espaciales

Cuando la NASA acopla dos naves espaciales en órbita, el tiempo es crítico. Sus movimientos deben sincronizarse con precisión entre sí para evitar fallas catastróficas, lo que significa que las redes informáticas que controlan sus propulsores no deben interrumpirse ni por una fracción de segundo; las instrucciones sobre exactamente cómo y cuándo mudarse deben entregarse a tiempo, siempre.

Linh Thi Xuan Phan, profesora asociada en el Departamento de Informática y Ciencias de la Información de Penn Engineering, ha colaborado con un equipo de investigadores de la Universidad de Michigan y la NASA para identificar una falla de seguridad crítica en el enfoque de red utilizado en estos y otros sistemas críticos para la seguridad. .

Conocido como Time-Triggered Ethernet o TTE, este enfoque se ha utilizado durante más de una década en aplicaciones aeroespaciales, de aviación y de la industria pesada. En esos contextos, muchos tipos diferentes de información viajan constantemente a través de sus redes informáticas, pero no todos requieren el mismo nivel de precisión de tiempo. Time-Triggered Ethernet garantiza que las señales más críticas tengan prioridad, eliminando la necesidad de un hardware de red separado dedicado a ellas.

Tener múltiples tipos de señales en la misma red física a través de TTE es especialmente importante para la NASA, que debe dar cuenta de cada onza de peso en una nave espacial. Sin embargo, el equipo de investigación fue el primero en demostrar que las garantías de seguridad de TTE podrían verse comprometidas por la interferencia electromagnética, interrumpiendo el tiempo de las señales de alta prioridad lo suficiente como para causar una falla crítica en un procedimiento de acoplamiento simulado.

Junto con Andrew Loveless, Ronald Dreslinski y Baris Kasikci de la Universidad de Michigan, Phan publicó estos hallazgos en el Actas del Simposio IEEE 2023 sobre seguridad y privacidad.

Mientras trabajaba en el Centro Espacial Johnson de la NASA, Loveless comenzó a investigar la posibilidad de esta falla de seguridad con datos de simulación. Él y sus colegas de Michigan reclutaron a Phan, un experto en la seguridad de los sistemas ciberfísicos, para analizar una falla arraigada en el hardware de las propias redes TTE.

Demostraron que las señales de baja prioridad podrían enviarse de tal manera que los cables Ethernet que transmiten el mensaje generarían interferencia electromagnética, lo suficiente como para pasar un mensaje malicioso a través de los interruptores que normalmente los bloquearían.

«Este enfoque fue de uso generalizado en sistemas críticos debido a la garantía de que los dos tipos de señales no podrían interferir entre sí», dice Phan. «Pero si esa suposición es incorrecta, todo lo demás se desmorona».

El equipo divulgó en privado sus hallazgos y las mitigaciones propuestas, incluido el intercambio de cableado de cobre por fibra óptica y otros aisladores ópticos, a las principales empresas y organizaciones que usan TTE y a los fabricantes de dispositivos en 2021.

«Todo el mundo ha sido muy receptivo a la adopción de mitigaciones», dice Loveless. «Hasta donde sabemos, no existe una amenaza actual para la seguridad de nadie debido a este ataque. Nos ha alentado mucho la respuesta que hemos visto de la industria y el gobierno».