Cybersecurity and cryptographic methods in unmanned systems - a study of the current state in unmanned aerial vehicles and similar systems

Abstract

In this report, we present common attack methods against unmanned systems and the cryptographic solutions that are commonly implemented to address these issues. We also detail many concrete studies of unmanned aerial vehicles (drones) and their cryptographic solutions and general cyber security. Our goals with this work are twofold. Our first and main goal is to get a representative picture of the current state of cryptography and information security in available unmanned systems. We do so by investigating known methods of attack against unmanned systems, as well as studying the vulnerabilities and security mechanisms of specific devices. This overall picture of vulnerabilities and cryptographic solutions is crucial to build an understanding of the practical security of modern unmanned aerial vehicles. Through this understanding of the state of practical security we can get an improved understanding of how to handle the operational risk inherent in using unmanned systems, which will be crucial to inform how these systems should be integrated into operations for civilian, commercial, industrial, or military use. Our second goal is to help bridge the gap between the field of unmanned systems and the field of cryptography. The report highlights many of the practical challenges in security that unmanned systems face today, with the explicit goal of making these challenges more visible to the security community. Similarly, the report highlights which cryptographic mechanisms already exist and are well-understood, and connect them to the vulnerabilities they address, with the goal of increasing awareness of these risks and tools to people well versed in autonomy and unmanned systems. As a result, we hope the two fields can come together to find practical solutions and expose core issues that neither field would naturally discover in an isolated setting. We start our report by defining the terminology with which we discuss cyber security and unmanned systems in the report. In doing so, we define our assets and adversaries, and which security goals we want to achieve for unmanned systems. Then, we present common ways to attack the information security of unmanned systems. We divide the attacks based on their domain: hardware, side channels and fault injection, software, and communication. We also make mention of several attacks that utilize multiple domains, as well as other attacks that fall outside of these categories and our scope. Next, we present cryptographic mechanisms that we have found to be typically implemented on common commercial unmanned aerial vehicles, and how they relate to the vulnerabilities discussed in the report. Finally, we discuss a series of devices that have been examined by security researchers and enthusiasts, and the relevant work done to understand the security of these devices and how it can be improved.

I denne rapporten presenterer vi vanlige angrepsmetoder mot ubemannede systemer og de kryptografiske løsningene som er typisk implementert for å møte angrepene. Vi presenterer også flere studier rundt droner og deres kryptografiske løsninger og generell cybersikkerhet. Vi har to mål med dette arbeidet. Det første og viktigste målet er å kartlegge status av tilstanden til eksisterende kryptografi og informasjonssikkerhet i åpent tilgjengelige ubemannede systemer. Vi gjør dette gjennom å undersøke kjente angrepsmåter mot ubemannede systemer, samt å studere svakhetene og sikkerhetsmekanismene i konkrete enheter. Dette overordnede bildet av svakheter og kryptografiske løsninger er veldig viktig for å få innsikt i den praktiske sikkerheten til moderne droner. Gjennom denne kjennskapen til den praktiske sikkerheten kan vi arbeide med å øke kunnskapen om den operasjonelle risikoen ved å bruke ubemannede systemer. En slik kunnskap vil være avgjørende for hvordan disse systemene bør bli integrert i sivile, kommersielle, industrielle eller militære operasjoner. Vårt andre mål er å hjelpe med å bygge bro mellom studiet av ubemannede systemer og studiet av kryptografi. Rapporten peker spesielt på mange av de praktiske utfordringene i sikkerhet som ubemannede systemer står ovenfor i dag, med et eksplisitt mål om å gjøre disse utfordringene synlige for sikkerhetseksperter. I samme tråd tar rapporten frem hva slags kryptografiske mekanismer som allerede eksisterer og er godt forstått, og drar bindingen til sårbarhetene de dekker, med mål om å øke bevisstheten rundt disse risikoene og verktøyene for folk som kan mye om autonomi og ubemannede systemer. På en slik måte håper vi fagfolk fra de to feltene sammen kan finne praktiske løsninger og eksponere kjernen til problemstillingene på en måte som de ikke naturlig ville oppdaget hver for seg. Vi starter rapporten med å definere terminologien som vi bruker for å diskutere cybersikkerhet og ubemannede systemer i rapporten. Mens vi gjør dette definerer vi våre verdier og trusselaktører, og hva slags sikkerhetsmål vi har lyst til å oppnå for ubemannede systemer. Så presenter vi vanlige måter å angripe digital sikkerhet for ubemannede systemer. Vi deler angrepene inn i kategorier basert på hva slags domene som benyttes: maskinvare, sidekanaler og feilinjisering, programvare og kommunikasjon. Vi nevner også flere angrep som utnytter mer enn ett domene, og andre angrep som faller utenfor disse kategoriene og rapportens omfang. Deretter presenterer vi kryptografiske mekanismer som vi har funnet typisk implementert i vanlige kommersielle droner, og hvordan de relateres til sårbarhetene diskutert i rapporten. Til slutt tar vi for oss en rekke konkrete enheter som har blitt studert av sikkerhetsforskere og entusiaster, og det arbeidet som er gjort for å forstå sikkerheten i disse enhetene og hvordan den kan bli forbedret.