cd e GPS radionavigazione
Transcript
cd e GPS radionavigazione
INFRASTRUTTURE CRITICHE GIANMARCO BALDINI L’UTILIZZO DI GNSS IN INFRASTRUTTURE CRITICHE E SUE VULNERABILITÀ O 1. 2. 3. 4. 6 ggi, sistemi di localizzazione o navigazione sono utilizzati in molti campi e per molte applicazioni. Esistono cinque diversi tipi di navigazione: Pilotaggio (il più antico) basato sull’identificazione di siti riconosciuti come una montagna o un faro ottico per sapere la propria posizione o dove si è diretti. Orientazione che si basa sul calcolo della posizione da un punto di origine definito e dei riferimenti basati su fenomeni naturali come il polo magnetico terrestre. Navigazione celeste che utilizza un riferimento temporale e gli angoli tra punti di riferimento di corpi celesti come sole, stelle o pianeti per calcolare orientamento, latitudine e longitudine. Radio Navigazione, che utilizza delle sorgenti a radiofrequenza con posizioni conosciute sulla terra o nello spazio. Safety&Security lug-ago 2009 5. Navigazione Inerziale, che si basa sul calcolo della posizione mediante strumenti inerziali (accelerometri, giroscopi) che forniscono direzione e accelerazione in ogni momento. Queste informazioni sono correlate con la conoscenza della posizione e velocità iniziale per fornire la posizione. Tutte queste forme di navigazione sono state utilizzate nel corso dell’umanità’, ma la Radio Navigazione è diventata la tipologia preminente nell’ultimo secolo. Oggi esistono diversi sistemi di radio navigazione sia terresti (come il LORAN) che basati su satelliti. I sistemi satellitari attuali sono l’americano GPS, il russo GLONASS e, a breve, il sistema europeo Galileo. Anche sistemi di navigazione satellitari indiani e cinesi sono in via di progettazione. Il termine utilizzato per descrivere questo tipo di navigazione è GNSS, acronimo per Global Navigation Satellite Systems o sistemi di navigazione satellitare a livello globale. I sistemi di navigazione satellitari sono oggi utilizzati in molti settori diversi. A par tire dal traspor to marittimo, GNSS ha le più svariate applicazioni nel traspor to su strada, agricoltura, la sicurezza pubblica, traffico aereo ed altri. Altre applicazioni avranno un’impor tanza sempre crescente come i Location Based Ser vices, dove la posizione di un utente è utilizzata per offrire in modo più efficiente tutta una serie di ser vizi. L’esempio classico è quello di un palmare che ■ Che cosa è il GNSS Questo paragrafo ha l’intenzione di spiegare alcuni concetti di base del GNSS. Una descrizione più dettagliata è in [12]. GNSS si basa sul principio della trilaterazione. In trilaterazione, la posizione sconosciuta di un punto (per esempio l’utente) è determinata misurando la lunghezza dei lati di un triangolo tra il punto sconosciuto e due altri punti la cui posizione è conosciuta con esattezza (i satelliti). La Sin dall’inizio dei tempi, l’essere umano ha cercato di trovare o inventare degli strumenti per determinare la sua posizione e la sua direzione sulla superficie terrestre. Nei secoli passati, questa conoscenza è stata essenziale per il commercio o l’esplorazione. fornisce informazioni su negozi o ristoranti localizzati nell’area dove un utente sta viaggiando. Alcune di queste applicazioni sono utilizzate all’interno di un’infrastruttura critica o sono utilizzate per fornire ser vizi critici alla società. Gran par te delle infrastrutture critiche nel campo del traspor to (marittimo, aereo o stradale) sono o saranno a breve basate su GNSS. Per esempio, GNSS è utilizzato per fornire la posizione delle pattuglie di polizia al comando centrale per meglio coordinare le loro attività o migliorare la loro capacità operativa. In alcuni casi, GNSS è utilizzato come strumento per salvaguardare l’ambiente come nel caso delle applicazioni per regolare la pesca in mare o il traspor to di sostanze pericolose. Considerando l’impatto crescente dei GNSS nelle nostre vite, è essenziale identificare e valutare le vulnerabilità dei GNSS e individuare delle protezioni adeguate. distanza del punto con posizione sconosciuta dai satelliti è calcolata mediante un segnale radio trasmesso da ogni satellite. Il segnale radio viaggia approssimativamente (per via della presenza di atmosfera) alla velocità della luce (C). La distanza è calcolata come D=C*T dove T è il tempo impiegato per trasmettere il segnale. Il tempo T deve essere calcolato con assoluta precisione considerato le distanze relativamente brevi tra un punto sulla super ficie terrestre e i satelliti del sistema GNSS. Un errore anche solo di 1 milionesimo di secondo è equivalente ad un errore di circa 300 metri, che non è accettabile in molte applicazioni. Per ottenere una precisione elevata occorrono orologi molto precisi. I satelliti GNSS sono equipaggiati con orologi atomici di grande stabilità e precisione. Nel caso del GPS, ogni satellite ha quattro orologi atomici: due orologi basati sul rubidio e due basati sul cesio. Nonostante la loro precisione, diverse cause possono generare errori e vari tecniche sono utilizzate per correggere i riferimenti temporali. Per individuare la posizione di un utente sulla super ficie terrestre un solo riferimento satellitare non è sufficiente, ma ne occorrono almeno quattro. Tre satelliti sono utilizzati per identificare la posizione nello spazio, mentre il quar to satellite è utilizzato per migliorare la sincronizzazione nel ricevitore. Il quar to satellite è necessario perché l’orologio utilizzato al ricevitore non ha la stessa precisione degli orologi atomici presenti sui satelliti, per motivi economici. Un orologio atomico può costare più di 100,000 Euro e renderebbe molte applicazioni del GNSS non adeguate dal punto di vista commerciale. In genere un ricevitore GNSS è dotato di un orologio al quarzo che ha un livello di precisione elevato ma inferiore a quello degli orologi atomici. La conseguenza è che il ricevitore non è per fettamente sincronizzato con i segnali ricevuti dai satelliti ed è quindi necessario il segnale di un quar to satellite per migliorare la sincronizzazione e quindi la precisione del riferimento geografico. Ricordiamo, infatti, che in GNSS, la misura temporale è equivalente alla distanza. Nella realtà, più sono i segnali satellitari utilizzati dal ricevitore GNSS e migliore è il livello di risoluzione. In genere, cinque segnali satellitari sono sufficienti per ottenere la precisione necessaria per molte applicazioni. Di conseguenza un sistema GNSS utilizza un grande numero di satelliti nello spazio per fornire una precisione adeguata nelle zone di coper tura. Il sistema americano GPS è stato progettato per ventiquattro satelliti, anche se, in effetti, ci sono circa 28-30 satelliti sempre in operazione. Sono sistemate su varie orbite a un’altitudine di 20,138 Km. Il sistema russo GLONASS è composto di ventiquattro satelliti, anche esso su varie orbite ad una altitudine di circa 19,100 Km. Il sistema europeo Galileo utilizzerà trenta satelliti distribuiti su tre piani orbitali a un’altitudine di 23,222 Km. In effetti, i satelliti e il ricevitore non sono gli unici componenti di un sistema GNSS. lug-ago 2009 Safety&Security 7 Figura 1 Un sistema GNSS è composto da tre ‘segmenti’ come si può vedere dalla figura 1. Lo ‘Space Segment’ è composto dai satelliti gia’ descritti, l’‘user segment’ sono i ricevitori GNSS, mentre il ground segment svolge una serie di funzioni per garantire la sincronizzazione temporale e la gestione del sistema. Specificatamente, le funzioni del ‘ground segment’ sono di: • Monitorare il corretto funzionamento del satellite • Stimare lo stato dell’orologio atomico su ogni satellite e definire i parametri di correzione da trasmettere. • Definire le orbite di ogni satellite per predire i dati di ephemeris insieme con l’almanacco. • Determinare le eventuali correzioni per la direzione e la posizione dei satelliti e trasmetterle. Come descritto, una delle voci è la definizione dei parametri di correzione. Anche se dotati di orologi atomici, i satelliti possono avere delle derive e potrebbero non essere completamente sincronizzati. Inoltre il segnale proveniente dai satelliti verso il ricevitore può essere modificato da vari fattori legati a variazioni nella ionosfera o troposfera che devono essere continuamente corretti. Vediamo adesso più in dettaglio il tipo di segnale trasmesso dai satelliti. Ogni sistema GNSS definisce i propri segnali e le frequenze utilizzate. In questo ar ticolo, descriveremo i segnali del sistema americano GPS da- Tabella 1 8 Safety&Security lug-ago 2009 to che è quello oggi più diffuso. I segnali di radionavigazione GPS sono trasmessi su frequenze por tanti (‘carrier’) di 1575 MHz (L1), 1227 MHz (L2). Queste frequenze por tanti sono utilizzate per traspor tare i segnali GPS mediante modulazione CDMA. Due modalità sono definite (anche chiamate codici): il codice C/A per impieghi civili ed il codice P. Una terza frequenza GPS, denominate L5, è riser vata nella bande di frequenza 1164–1188 MHz. Infine, il Ground Segment utilizza dei canali di comunicazione con i satelliti alle frequenze di 1783 MHz e 2275 MHz. Considerata la distanza dei satelliti dalla super ficie terrestre, i segnali arrivano al ricevitore GPS con livelli di potenza estremamente bassi. Utilizzando un’antenna di tipo comune (con un guadagno di 3dB), le potenze ricevute sono dell’ordine di -128.5 dBm12 per C/A and -131.5 dBm per P. Queste potenze sono simili od inferiori al livello di rumore di un normale ricevitore GPS. L’occupazione di banda dei due segnali è rispettivamente di 2.046 MHz per il C/A e 20.46 MHz per P. Valori così bassi di potenza è una delle principali vulnerabilità del sistema GPS. Vedremo nei paragrafi seguenti che è molto facile implementare Denial Of Ser vice (DOS) del ser vizio GPS. Il sistema europeo Galileo ha una struttura di segnali simili ma più sofisticata ed avanzata. Galileo ha molte piu’ bande allocate per radiosegnali di navigazione rispetto al GPS. La tabella 1 mostra la lista delle frequenze allocate a Galileo. Tabella 2 Alcune di queste frequenze sono ‘condivise’ con il sistema GPS come si può vedere dalla seguente tabella 2, che fu il risultato di una lunga serie di discussioni a livello internazionale, culminate con la conferenza WRC 2003. A confronto dei segnali GPS, Galileo avra’ anche una maggiore allocazione di banda per ciascun carrier. Infatti, E5 ha una larghezza di banda di 50 MHz, E6 di 40 MHz, E1/L1/E2 di 8 MHz per E1 e E2. La maggiore larghezza di banda è non solo un vantaggio notevole per offrire una serie di nuovi ser vizi rispetto a GPS, ma offre anche una maggiore resistenza rispetto a inter ferenze radio di tipo intenzionale o non-intenzionale. ■ GNSS ed infrastrutture critiche GNSS sono utilizzati oggi in molti diversi settori da aree puramente commerciali ad altre di specifico interesse scientifico includendo applicazioni di carattere militare. GNSS sono in genere utilizzati per migliorare l’efficienza e ridurre la complessità di sistemi utilizzati in precedenza. Storicamente, le prime applicazioni sono state di carattere militare per determinare con precisione la posizione di forze militari o per controllare la posizione di lancio dei missili intercontinentali durante la cosiddetta ‘guerra fredda’. Il mondo commerciale s’interessò presto a questa nuova tecnologica 10 che forniva un’efficienza migliore rispetto ad altri sistemi di navigazione basati su riferimenti presenti sulla super ficie terrestre. Le prime applicazioni sono state prevalentemente di tipo marittimo, dove determinare la posizione della nave, è sempre stato un problema fondamentale per la navigazione. La diffusione del GNSS verso gli altri domini è stato all’inizio ostacolato dal costo elevato dei ricevitori satellitari. Al diminuire del costo ed all’incremento della precisione, altri domini hanno incominciato ad utilizzare il GNSS. Oggi, un ricevitore satellitare costa qualche decina di euro e l’accuratezza e di qualche metro. L’evoluzione del GNSS con il progetto europeo Galileo e con l’evoluzione del GPS americano verso GPS III migliorerà ancora l’accuratezza e fornirà nuovi ser vizi. Nel campo marittimo, una delle applicazioni più impor tanti nel campo marittimo è il AIS (Automatic Identification System). Tutte le navi di più di 300 tonnellate e le navi passeggeri, devono essere equipaggiate con un transpoder AIS che trasmette continuamente dati relativi alla identità della nave, la sua direzione, posizione e velocità. Il sistema AIS è utilizzato per controllare che le navi viaggiano od operano nel rispetto delle norme di navigazione marittima. Un’applicazione simile è relativa al controllo dei pescherecci per verificare che non peschino in zone proibite durante alcuni periodi dell’anno. Attività criminali come immigrazione illegale, contrabbando, pesca illegale hanno tutto l’interesse Safety&Security lug-ago 2009 ad evitare questo tipo di controllo e, come vedremo nel paragrafo seguente, ad implementare attacchi di sicurezza per modificare i dati di posizione. Ma è in altri campi di traspor to, che l’utilizzo di GNSS ha avuto un’esplosione negli ultimi anni grazie alla diminuzione dei costi dei ricevitori satellitari. A livello individuale, navigatori satellitari sono utilizzati comunemente per fornire indicazioni al guidatore. Ma altri settori di traspor to più critici per il benessere della società sono diventati sempre più dipendenti dal GNSS. Il settore del traspor to di merci su ruota (come containers) utilizza sempre più frequentemente la navigazione satellitare per migliorare l’efficienza. Diversi progetti pilota sono stati implementati per il traspor to delle sostanze pericolose come prodotti chimici nocivi o sostanze altamente infiammabili. Si sta adesso passando dalla fase prototipale all’implementazioni commerciali. Un settore altamente critico è il traspor to aereo dove l’utilizzo del GNSS è stato considerato per lungo tempo, ma non è stato applicato in modo determinante per i rigidi requisiti operativi del traffico aereo in termine di accuratezza e reliability soprattutto in fase di decollo ed atterraggio. Il nuovo sistema europeo Galileo o il sistema EGNOS che lo anticiperà può fornire le capacità necessarie per l’applicazione del GNSS al traffico aereo. Un’applicazione impor tante del GNSS è legata alla sua capacità di fornire un riferimento temporale, più che un riferimento di tipo spaziale. Responsabili di diverse infrastrutture critiche hanno incominciato a utilizzare questo ser vizio o stanno pianificando il loro utilizzo. I settori interessati sono: • Infrastrutture per la produzione o distribuzione della energia elettrica • Infrastrutture di telecomunicazioni • Infrastrutture di tipo finanziario. Il blackout dell’Agosto 2003 in USA ha dimostrato il bisogno per un miglioramento della sincronizzazione temporale della griglia di distribuzione dell’energia elettrica. Il documento di analisi (riferimento [2]) del blackout condotto dal Nor th American Reliability Council (NERC) ha suggerito l’utilizzo di installare sistemi di sincronizzazione basati su GPS per migliorare la risposta del sistema in caso di fallimento. Lo stesso suggerimento è valido in ambito europeo, dove si potrà utilizzare Galileo (vedi [4]). Il riferimento temporale del GNSS può essere utilizzato anche in altri ambiti come (riferimento [3]): • Controllo sulla generazione dell’energia. Generazione e carico di energia elettrica deve essere in equilibrio in ogni momento. Un sistema automatico è in genere presente per ottimizzare continuamente la generazione di energia. Errori in frequenze o misure di potenza possono essere rilevate con accurate misure temporali. • Protezione del sistema. Errori nella distribuzione di energia o perdita di sincronizzazione devono essere registrati con una precisione temporale molto elevata. • Misure sui fasori. Per mantenere l’integrità’ di sistema, schemi di controllo di stabilità sono creati che hanno bisogno di un riferimento temporale con una precisione migliore di 1µs. Riferimenti temporali di precisione sono utilizzati in infrastrutture di comunicazione per migliorare il livello di sincronizzazione tra i diversi elementi di rete: • In PSTN (Public Switched Telephone Network), le connessioni rappresentate da time slots devono essere sincronizzati tra i diversi switch digitali che sono presenti nella rete. Il peggioramento della sincronizzazione può creare jitter e transienti di fase che peggiorano la qualità generale del ser vizio. (Synchronous Optical • SONET Networks), differenze di frequenze tra gli elementi del network possono indurre, in modo indiretto, perdite di sincronizzazione che causano perdite di connessione ed errori sulla trasmissione dati. Il riferimento temporale del GNSS puo’ essere utilizzato per re-sincronizzare gli elementi di rete • In reti GSM/UMTS la sincronizzazione tra le base stations e gli altri elementi di rete è un fattore essenziale per assicurare un corretto hand-over senza perdere chiamate (see [6]). L’utilizzo del GNSS come riferimento temporale è sempre più utilizzato anche per motivi di ordine economico considerando la grande quantità di base stations in rete GSM/UMTS. In questo paragrafo, abbiamo descritto l’utilizzo del GNSS in infrastrutture critiche come il transpor to (marittimo, stradale ed aereo), produzione e distribuzione di energia elettrica e infrastrutture di comunicazioni. Molte altre applicazioni utilizzano o utilizzeranno GNSS, specialmente, quando i nuovi sistemi come Galileo forniranno una maggiore accuratezza e nuovi ser vizi. GNSS ha un’impor tanza sempre maggiore nelle nostre vite. È lecito quindi chiedersi quali sono le vulnerabilità dei sistemi GNSS e quali sono le possibili contromisure. ■ Vulnerabilità del GNSS Un’analisi delle vulnerabilità del GNSS è stato condotto da diversi istituti e centri di ricerca nel mondo. Uno degli studi più completi è quello prodotto dal John A. Volpe National Transpor tation Systems Center (riferimento [7]) dove sono state prese in considerazione vulnerabilità legate specialmente al sistema americano GPS ed al settore del traspor to. In [7], le vulnerabilità sono classificate in base ad un tipo di disturbo inten- zionale o non-intenzionale. Disturbi di tipo non-intenzionale Nella categoria dei disturbi non intenzionali, possiamo individuare: • Inter ferenza ionosferica dove il fenomeno della scintillazione può variare il segnale GPS sia in ampiezza che in fase. Questo tipo di disturbo si accentua alla presenza di macchie solari ed altre per turbazioni create dal sole. Questo fenomeno è ben conosciuto ed è possibile compensare in par te utilizzando ricevitori a doppia frequenza o trasmettendo segnali di correzione. • Inter ferenza non intenzionale prodotto da ser vizi di comunicazione o broadcast come quello televisivo. In molti casi, può succedere che un sistema di broadcast come la TV digitale possa inter ferire con il segnale GNSS che, come abbiamo visto, trasmette nelle bande di frequenza tra 1.2 ed 1.6 GHz. L’interferenza puo’ avvenire, anche se lo spettro assegnato alla TV digitale è in banda di frequenza completamente diversa. L’inter ferenza nelle bande di GNSS è in genere dovuta alla creazione di armoniche spurie prodotte da amplificatori non propriamente configurati o schermati. Anche se la potenza delle spurie è molto ridotta rispetto al segnale iniziale, è necessario considerare che i segnali GNSS hanno delle potenze molto basse (-150 dbm, quando arrivano ai ricevitori GNSS sulla super ficie terrestre. Quindi anche un segnale spurio di bassa potenza può creare un’inter ferenza significativa. Questo tipo d’inter ferenza può essere prodotta non solo da TV digitale ma anche altre sorgenti di radiofrequenza come trasmettitori in banda UHF/VHF, Radar o trasmettitori UltraWideBand. È comunque necessario notare che l’introduzione di una nuova tecnologia come UWB e la definizione dei relativi standard e allocazioni di banda è sempre fatta dopo uno studio attento delle possibili inter ferenze. Riteniamo che un’attività’ di monitoraggio delle inter ferenze elettromagnetiche sia utile per individuare disturbi ai sistemi GNSS. Ovviamente la difficoltà principale di questa atti- lug-ago 2009 Safety&Security 11 vità è che le super fici da monitorare sono molto vaste e spesso le inter ferenze sono di carattere transitorio. Un metodo più efficace potrebbe essere basato sulla raccolta di repor t su degradazione della qualità di ser vizio dei ricevitori GNSS durante il loro normale utilizzo. Disturbi di tipo intenzionale La forma di disturbo più semplice da implementare è il ‘jamming’, che si può definire come l’emissione di energia a radio frequenza con potenza sufficiente e con caratteristiche tipiche da degradare od eliminare la capacità operativa di un ricevitore GNSS. Considerate le bassa potenze del radiosegnale GNSS alla super ficie terrestre, è sufficiente anche un emittore di bassa potenza (1 Watt) montato su un pallone aerostatico per ‘jammar’ e un’area estesa anche per centinaia di chilometri quadrati (vedi riferimento [9]). Secondo il tipo di segnale emesso dal jammer, un potenziale criminale può aumentare l’efficacia dell’attacco. Tecniche di cancellazione d’inter ferenza sono state sviluppate da ricevitori GNSS ma se il segnale proveniente dal ‘jammer’ è molto simile al segnale reale (per esempio utilizzando la stessa modulazione spread-spectrum), queste tecniche sono meno efficaci. ‘Jammers’ per il GPS sono già disponibili con diversi livelli di per formance e di costo. Alcune versioni possano costare anche meno di 800 Euro e forniscono potenze da 1 Watt a 100 Watt. È comunque molto semplice implementare un GPS ‘jammer’ utilizzando componenti commerciali. Dispositivi con potenza di disturbo superiore possono essere costruiti facilmente ma hanno ovviamente un costo più elevato. Una limitazione è il tipo di alimentazione per questi dispostivi. Dato che nella maggiore par te dei casi, non è possibile collegarli a una rete di distribuzione di energia elettrica (come nel caso di un ‘jammer’ montato su un aerostato), il disturbo può durare per un periodo di qualche ora o giorno a seconda della potenza emessa e delle batterie utilizzate. L’effetto sul ricevitore è di creare errori anche abbastanza elevati nel cal- 12 colo della posizione del ricevitore oppure una perdita di ser vizio totale. In base alla qualità del ricevitore, il tempo di ripristino del ser vizio può durare da qualche secondo a qualche minuto, una volta che il segnale di disturbo è rimosso. L’attacco mediante ‘jamming’ sui ricevitori GPS può colpire un numero limitato di ricevitori GNSS e i loro utenti. Un attacco, con conseguenze più gravi, può essere attuato direttamente sul segmento di controllo a terra del sistema GNSS mediante ‘jamming’ o diretto danno fisico. L’effetto è di un degrado progressivo del segnale GNSS su tutta l’aerea di responsabilità del centro di controllo e può quindi coinvolgere milioni di utenti e infrastrutture critiche in intere nazioni o regioni geografiche. Questo tipo di attacco è comunque molto più difficile da implementare dato che il centro di controllo è comunque, in genere, equipaggiato di sistemi di cancellazione di inter ferenza molto più sofisticati di un semplice ricevitore. Inoltre, un sistema GNSS può essere progettato con centri di controllo ridondati per minimizzare l’impatto nel caso del fallimento di uno di essi. Un caso estremo è ovviamente l’attacco diretto su uno o più satelliti GNSS, che richiede comunque risorse molto più sofisticate di quelle a disposizione di un criminale generico. Inoltre è lecito supporre che un attacco di questo tipo susciterebbe una reazione immediata a livello governativo o militare. Un altro tipo di attacco è lo ‘spoofing’ dove l’intenzione è di sincronizzare il ricevitore su un falso segnale GNSS per fornire una falsa posizione all’utente finale. Un esempio di utilizzo dello ‘spoofing’ è quello di fornire false informazioni al centro di controllo marittimo sulla posizione di una nave per nascondere attività illegali come la pesca in zone interdette. Da Gennaio 2005, la legge Europea (Commission Regulation) N. 2244/2003 richiede a tutte le navi da pesca di lunghezza superiore a 15 metri, che operano nelle aeree di pesca di responsabilità della Comunità Europea di dotarsi di un dispositivo VMS satellitare (adesso basato su GPS) per fornire la Safety&Security lug-ago 2009 posizione e altri dati a un centro di controllo marittimo. Lo ‘spoofing’ del dispositivo permetterebbe ad attività criminali di operare in zone proibite alla pesca. Un altro caso di applicazione di ‘spoofing’ è per fornire un segnale non corretto ad un ricevitore utilizzato per sincronizzare una rete elettrica od un’infrastruttura di comunicazione. In questo caso l’intenzione è di fornire un riferimento temporale sbagliato per degradare le prestazione delle rete. Un attacco mediante ‘spoofing’ è più difficile da individuare di un semplice ‘jamming’ dato che il falso segnale è creato per simulare nel modo più preciso possibile un verso segnale GNSS. L’implementazione dello ‘spoofing’ è molto piu’ complessa rispetto al ‘jamming’ dato che il segnale GNSS deve essere riprodotto con esattezza in modo tale da ingannare il ricevitore GNSS. Nonostante questo, professionale GPS spoofer sono già disponibili a un costo ancora elevato (dell’ordine di 100,000 Euro) ma nuovi modelli potrebbero essere accessibili a costi inferiori. L’attacco mediante ‘spoofing’ è stato prima descritto in [10] dove una serie di contromisure furono anche individuate per minimizzare od eliminare questo tipo di attacco. Queste contromisure sono basate su discriminazione su ampiezza del segnale, discriminazione sul tempo di arrivo del segnale, discriminazione sull’angolo di arrivo e così via. Una contromisura è basata in par ticolare su autenticazione basata su crittografia. Questo tipo di ser vizio è disponibile per il GPS militare per alcuni servizi del sistema Galileo come il PRS creato per applicazioni di Public Safety e militari. Per questi ser vizi e applicazioni, l’attacco di ‘spoofing’ è quasi impossibile, mentre è una minaccia realistica per segnale C/A del GPS e l’Open Ser vice di Galileo che non avranno autenticazione. Riferimento [11] descrive l’implementazione di un sistema di mitigazione dello ‘spoofing’ basato sulla discriminazione dell’angolo di arrivo utilizzando multiple antenne. Infine una forma più semplice di ‘spoofing’ è il ‘meaconing’ dove un segnale GNSS viene ricevuto da un ricevitore modificato e quindi ritrasmesso con un ritardo configurabile. L’obiettivo è sempre di confondere altri ricevitori nell’area. Mentre il ‘meaconing’ è relativamente facile da implementare modificando un GNSS repeater dove il segnale è una riproduzione dell’originale, un ricevitore abbastanza sofisticato può confrontare il segnale ‘meaconed’ con gli altri segnali reali da altri satelliti e determinare quindi il segnale errato. ■ Conclusioni GNSS è utilizzando sempre di più per le più svariate applicazioni e nell’ambito di numerose infrastrutture critiche nel settore del traspor to, energia e comunicazioni. È necessario essere consapevoli delle dipendenze di queste infrastrutture critiche dal GNSS e quali sono le possibili forme di attacco e le relative contromisure che possono essere adottate. L’evoluzione dei sistemi GNSS (Galileo, GPS III) includendo i sistemi basati sull’aumentazione del segnale GPS come EGNOS 14 fornirà uno spettro più ampio di ser vizi e quindi creerà nuovi scenari da analizzare in questa tematica. ■ Riferimenti [1]. S. Thomas, The Last Navigator: A Young Man, An Ancient Mariner, the Secrets of the Sea, McGraw-Hill, New York, 1997. [2]. August 14, 2003 Blackout: NERC (Nor th american Electric Reliability Council) Actions to Prevent and Mitigate the Impacts of Future Cascading Blackouts. [3]. Application of the Galileo System for a Better Synchronization of Electrical Power Systems Philippe Mack, Florin Capitanescu, Mevludin Glavic, Fabrice Legrand, Louis Wehenkel. NAVELEC project. [4]. Application of the Galileo System for a Better Synchronization of Electrical Power Systems, Mack, P.; Capitanescu, F.; Glavic, M.; Legrand, F.; Wehenkel, L. Power Tech, 2007 IEEE Lausanne. [5]. P. Mann and E. Butterline. Global positioning system use in telecommunications. ION GPS, 1998. [6]. 3GPP ETSI Technical Specifica- Safety&Security lug-ago 2009 tion TS 25.402. [7]. Vulnerability assessment of the transpor tation infrastructure relying on the Global Positioning System. Final Repor t. August 29, 2001. Prepared by John A. Volpe National Transpor tation Systems Center. [8]. “GPS Inter ference via a TV signal”. Proceedings of the 10th International Technical Meeting of the Satellite Division of the Institute of Navigation GPS-97. Kansas City. Sept. 1997. [9]. “The impact of Jamming on GPS”. Symposium on GPS inter ference and mitigation techniques held on August 27 1998 at the Volpe National Transpor tation System Center by S. Gilmore. [10]. “Techniques to counter GPS spoofing”, internal memorandum, the MITRE corporation, Februar y 1995. [11]. A multi-antenna defense. Receiver autonomous GPS spoofing detection. Paul Y Montgomer y, Todd E. Humphreys, Brent M. Ledvina. Inside GNSS, March-April 2009. [12]. GNSS Global Navigation Satellite Systems: GPS, GLONASS, Galileo, and more by Bernhard Hofmann-Wellenhof, Herber t Lichtenegger, Elmar Wasle. ■