Mitigando os efeitos do bloqueio e falsificação de sinais GNSS – informações de navegação por satélite comprometidas são um problema contínuo, em 09.02.25
O editor-chefe da mídia AIN Matt Thurber postou, na plataforma on line da mídia no dia 03, artigo intitulado “Mitigating the effects of GNSS jamming and spoofing – compromised navigation information is an ongoing problem” (Mitigando os efeitos do bloqueio e falsificação de sinais GNSS – informações de navegação por satélite comprometidas são um problema contínuo”.
Texto original:
https://www.ainonline.com/aviation-news/air-transport/2025-01-03/mitigating-effects-gnss-jamming-and-spoofing
No que pode ter sido o primeiro acidente de aviação civil envolvendo interferência de GNSS, um jato EMBRAER 190 da Azerbaijan Airlines foi destruído em pouso de emergência nos arredores de Aktau (Cazaquistão), em (25) dezembro na sequência a supostamente ter sido alvejado por destroços de míssil antiaéreo explodindo perto de seu destino em Grozny (Rússia). Embora pareça que a interferência de GNSS local contra drones estava ocorrendo, não se sabe se isso contribuiu para o acidente. No entanto, o bloqueio de sinais de navegação provavelmente não foi útil durante uma situação extremamente estressante para os pilotos do E190, que pereceram no acidente, juntamente com um comissário de bordo e 35 passageiros, totalizando 38 mortes, e a sobrevivência de 29 ocupantes (dois comissários e 27 passageiros).
A interferência e a falsificação de sinais do sistema global de navegação por satélite (GNSS) continuam sendo um problema sério e, embora pareçam estar confinados a zonas de conflito, podem acontecer em qualquer lugar com qualquer aeronave que use GNSS para navegação.
O sistema GPS, do EUA, é um tipo de rede de satélites para fim de GNSS, assim como outros sistemas, como o Glonass, da Rússia, o Beidou, da China, e o Galileo, da Europa.
A falsificação (spoofing) ocorre quando um receptor GNSS é “enganado” para calcular uma posição falsa por um equipamento transmitindo do solo, o que pode mostrar a aeronave em um local diferente de sua posição real e solicitar que o sistema de navegação envie a aeronave para fora do curso desejado. O jamming bloqueia o recebimento dos sinais GNSS e essencialmente torna o receptor inútil até que o jamming seja desligado ou a aeronave saia da área.
O problema com falsificação (spoofing) e bloqueio (jamming) de sinais de satélites não é apenas o efeito na capacidade de navegação da aeronave, mas no equipamento que depende de sinais GNSS precisos, de acordo com uma apresentação da FAA do início do ano passado. Falsificação (spoofing) e bloqueio (jamming) de sinais também podem prejudicar sistemas de comunicação, incluindo comunicações por link de dados de controle e piloto (CPDLC), vigilância por ADS-B e -C, sistemas de alerta e conscientização do terreno (TAWS) e sistemas aprimorados de alerta de proximidade do solo (EGPWS), sistemas de vôo-automático e equipamentos de suporte, como EFB ou aplicativos processados em tablet. Pilotos reportaram falhas de piloto-automático, avisos espúrios dos sistemas EGPWS e TAWS e outros comportamentos anômalos de aviônica, como mudanças de relógio, devido falsificação (spoofing) e bloqueio (jamming) de sinais.
A L3Harris Flight Data Analytics tem estudado a atividade de falsificação (spoofing) e bloqueio (jamming) de sinais depois que clientes de cias. aéreas e aviação executiva levantaram problemas que viram com alterações em informações de vôo espúrias capturadas por dados de garantia de qualidade de operações de vôo (FOQA) de gravadores de dados de vôo a bordo.
“Começamos a ajudá-los a entender quais poderiam ser as causas potenciais naquele momento, com base em seu plano de vôo”, explicou Mitesh Patel, gerente geral da L3Harris Flight Data Analytics. “Nossa função é analisar dados de vôo vindos da aeronave, correlacioná-los com relatórios de pilotos e, então, tentar dar sentido a quaisquer eventos incomuns, qualquer coisa que pudesse ter comprometido a segurança do vôo, para ajudar as companhias aéreas com seus processos de gerenciamento de segurança”, prosseguiu Patel.
Os clientes da L3Harris incluem cias. aéreas e operadoras de aviação executiva, como a Luxaviation. Os dados das cias. aéreas fluem em uma taxa muito mais rápida, com estes clientes registrando de 28.000 a 30.000 vôos por dia, muito mais do que os clientes de aviação executiva da L3Harris. No entanto, os dados das operadoras de aviação executiva tendem a ser mais dinâmicos – “agitados”, de acordo com Patel, porque voam para muito mais aeroportos que as cias. aéreas não usam.
Antes do início do fluxo de eventos de bloqueio/interferência e falsificação, há cerca de 18 meses, havia reportes esporádicos, mas depois estes se tornaram mais prevalentes, disse Patel, “especialmente em zonas de conflito. [Os clientes] queriam que analisássemos os dados com mais detalhes para entender o que estava causando esses problemas. Poderíamos detectar falsificação de GPS [GNNS] com base nos dados capturados nos gravadores de dados de vôo?”.
A equipe da L3Harris escreveu algoritmos para analisar os dados para que os analistas pudessem ver onde a falsificação (spoofing) estava ocorrendo. Aeronaves mais antigas têm conjuntos de dados limitados, então uma combinação de extrapolação de dados e exploração de outras fontes de dados foi necessária, explicou Patel, “para tentar correlacionar esses itens de dados para ver se há algum desvio de um para o outro, o que poderia então indicar uma situação de falsificação ou bloqueio/interferência”.
Por fim, ter essas informações permite que os operadores desenvolvam procedimentos operacionais padrão (SOP) para lidar com interferência e interferência e atualizar o treinamento do piloto. “Então, quando isso realmente acontece na vida real, os pilotos estão mais preparados”, Patel disse. “Eles podem identificar algo que está acontecendo e então correlacionar isso com seu treinamento para tomar as ações corretas”, completou Patel.
A L3Harris tem uma divisão de treinamento de pilotos e desenvolveu cenários de falsificação (spoofing) para programas de simulador de vôo. “Nós os configuramos como mau funcionamento em situações de condições não normais [non-normal procedures]. Então, eles seriam introduzidos durante um perfil de vôo de um aeroporto para outro, introduzindo o fator susto. Os pilotos lidam com isso e isso efetivamente os treina para que fiquem mais confiantes quando isso acontecer na vida real. Eles sabem exatamente como lidar com a situação e estão familiarizados com os SOP e também com os procedimentos não normais”.
Os dados colhidos pela L3Harris também dão suporte aos seus esforços para informar os clientes sobre onde é provável que ocorram bloqueios/interferências e falsificações, para que possam compartilhar essas informações com seus pilotos. Um cliente de companhia aérea usa essas informações para informar os pilotos sobre riscos de interferências e falsificações e também para desenvolver rotas alternativas para evitar áreas de alto risco, explicou Patel.
“As empresas de aviônicos e fabricantes [originais – OEM] estão trabalhando para encontrar soluções”, disse Patel, “olhando para criptografar sinais de GPS, fornecendo mais antenas direcionais, várias maneiras de garantir que o próprio sinal de GPS [GNNS] não seja comprometido. Já há muito trabalho em andamento para mitigar interferências e falsificações de GPS. Estamos trabalhando continuamente com nossos parceiros de companhias aéreas e clientes para apoiá-los nessa rota”, revelou Patel.
“Uma das áreas que me surpreendeu que foi afetada é CPDLC e FANS, porque elas têm carimbos de data e hora. Uma vez que os carimbos de hora do GPS são comprometidos, os sistemas que usam essas informações também podem ser comprometidos. Se os aplicativos que têm uma chave de licença que expira em uma determinada data, se uma data de GPS for alterada para um ponto em que uma licença se torna inválida, esses aplicativos potencialmente não podem estar disponíveis para os pilotos”, revelou Patel.
Um problema que também pode ocorrer com uma alteração de data é que os dados registrados podem aparecer como um vôo feito no passado ou no futuro, e os analistas precisam encontrar outros dados para aferir e recalibrar o vôo para seus parâmetros adequados.
“É incrível como as aeronaves modernas são tão complexas e usam sinais de GPS para coisas que você nunca pensou antes”, observou Patel.
Mitigando bloqueios/interferências e falsificações
A FAA emitiu um Alerta de Segurança para Operadores (SAFO 24002) em 24 de janeiro de 2024, orientando pilotos sobre operações em um ambiente com GNSS interrompido. Em suas recomendações, a FAA recomenda que pilotos avaliem o risco potencial antes da partida, incluindo a verificação de NOTAM e a determinação se há procedimentos alternativos de chegada e aproximação no destino e aeroportos alternativos que usam fontes de navegação não-GNSS.
Os operadores também devem consultar as fabricantes de suas aeronaves e aviônicos para obter orientações específicas sobre como detectar e mitgar bloqueios/interferências e falsificações.
Para a fase de vôo, a FAA orienta: “Esteja atento a qualquer indicação de que o GPS/GNSS da aeronave está sendo interrompido; verifique a posição da aeronave por meio de auxílios de navegação convencionais, quando disponíveis; avalie os riscos operacionais e as limitações vinculadas à perda da capacidade do GPS/GNSS, incluindo quaisquer sistemas de bordo que exijam entradas de um sinal GPS/GNSS; garanta que os auxílios à navegação essenciais para a operação da rota/aproximação pretendida estejam disponíveis; permaneça preparado para reverter aos procedimentos convencionais de vôo por instrumentos; reporte prontamente a interrupção ao ATC, seguido de um relatório detalhado por escrito após o vôo em: https://www.faa.gov/air_traffic/nas/gps_reports”.
Relatório de falsificação do OpsGroup
Em agosto passado, o provedor de consultoria de operações de vôo OpsGroup reuniu um grupo de 950 pessoas de cias. aéreas, operadoras de jatos executivos, organizações de controle de tráfego aéreo, reguladores, especialistas em GPS [GNSS] e organizações de aviação para estudar o problema de falsificação de sinais e, em setembro, publicou o “Relatório final de falsificação de GPS”.
No relatório, o OpsGroup extraiu um documento de orientação de tripulação que expande a recomendação da FAA e fornece instruções mais detalhadas sobre como se preparar e lidar com encontros de falsificação.
Embora a orientação tenha vindo de “melhores práticas coletadas da tripulação de vôo que participa do GPS Spoofing Workgroup (Grupo de Trabalho falsificação) bem como de fabricantes e outras contribuições de especialistas”, observou o OpsGroup, “nada aqui pretende substituir ou anular procedimentos da empresa, orientações de fabricantes ou requisitos legais”.
Falsificação (spoofing) e bloqueio/interferência (jamming) de sinais GNSS OpsGroup
O OpsGroup dividiu seu guia de orientação em quatro áreas operacionais principais:
– pré-vôo;
– Falsificação (spoofing) – prespoofing;
– dentro da área de falsificação (Inside spoofing Area); e,
– recuperação.
1 – pré-vôo (preflight)
A falsificação de GNSS deve ser tratada como um briefing completo, recomenda o OpsGroup. Como tal, os operadores devem avaliar os prováveis pontos de entrada e saída das áreas de falsificação, usando mapas de falsificação online, como o SkAI Data Services Live GPS Spoofing and Jamming Tracker Map – Mapa rastreador de Falsificação (spoofing) e bloqueio/interferência (jamming) de sinais GNSS ao vivo, da SkAI Data Services – no sítio: https://spoofing.skai-data-services.com/
A L3Harris também identificou áreas de alto risco com base em seus dados capturados.
SkAI Data Services Live GPS Spoofing and Jamming Tracker Map
O briefing deve incluir planos para lidar com falsificação (spoofing), avaliação da disponibilidade de auxílios à navegação baseados em solo, efeitos esperados do equipamento e indicações de falsificação (spoofing) e bloqueio/interferência (jamming) de sinais, e como o spoofing pode afetar os requisitos de desempenho de navegação (RNP) necessários mais tarde no vôo, especialmente durante chegadas e aproximações.
Os pilotos devem revisar o impacto do EGPWS e decidir como responder aos alertas em cruzeiro, se devem usar o expediente de inabilitar e sobrepujar alerta de terreno e como lidar com alertas durante uma aproximação por instrumentos. “Esteja totalmente preparado para comportamento incomum do EGPWS”, é a orientação. Além da lista da FAA acima, a visão sintética pode reverter para um indicador de direção de atitude comum.
Uma consideração importante deve ser o planejamento de contingência – por exemplo, se ocorrer falha ou despressurização do motor dentro de uma área de falsificação (spoofing). Um desvio dentro de uma área de falsificação (spoofing) pode exigir VMC diurno, e os pilotos precisam estar cientes das altitudes mínimas seguras.
Embora algumas vulnerabilidades aviônicas possam ser generalizadas, os pilotos devem saber como o bloqueio e falsificação de sinais afeta suas aeronaves, incluindo a diferença entre sistemas de referência inercial (IRS) convencionais e híbridos. Um IRS híbrido usa informações de GNSS para atualizar a posição do IRS, e deve ser possível desabilitar o modo híbrido do IRS.
A OpsGroup sugere certificar-se de que os pilotos sincronizem um relógio mecânico com uma fonte conhecida antes da partida em caso de falha do relógio na aviônica.
Os NOTAM não são uma fonte confiável de informações, embora a FAA sugira verificá-los para obter informações sobre bloqueio/falsificação. “Não confie apenas nos NOTAM para dar avisos abrangentes sobre locais de falsificação”, orienta o OpsGroup.
Se estiver partindo de um aeroporto dentro de uma área de falsificação de sinais, desligar o receptor GNSS antes de alinhar o IRS pode ajudar a mitigar a falsificação. “Execute um alinhamento manual. Fique atento à captura automática da posição GNSS falsificada durante o alinhamento [do inercial]”, orienta o OpsGroup.
Ao chegar a um aeroporto em área falsificada, os pilotos devem evitar usar procedimentos de chegada ou aproximação por GNSS/RNP.
2 – Falsificação (spoofing) – prespoofing
Uma vez em vôo, os preparativos devem começar 45 minutos ou 300 MN antes do ingresso numa área de falsificação (spoofing) de sinais. Pode ser sensato recusar rotas diretas e permanecer em aerovias baseadas em auxílios de navegação terrestres.
Os pilotos devem revisar o planejamento de vôo para encontros de falsificação (spoofing) e estar prontos para efeitos de aviônicos, especialmente alerta EGPWS durante o cruzeiro.
Os pilotos devem monitorar a incerteza estimada da posição (EPU – estimated position uncertainty) e o desempenho real da navegação (ANP – actual navigation performance). O status do GNSS pode ser visualizado na página “sensor/pos ref” do sistema de gerenciamento de vôo.
“Antecipe o início da falsificação antes da falsificação: o encontro típico de falsificação de sinal agora começa com um período de falhas-falsificação do GNSS, o que torna o receptor GNSS mais vulnerável à falsificação”, o OpsGroup orienta.
O OpsGroup recomenda monitorar a posição com um GNSS externo separado, e isso pode ser conectado a um tablet executando software moving-map. Pode ajudar manter a antena externa do GNSS à vista dos satélites, mas protegida do horizonte pela estrutura da fuselagem, para evitar que o equipamento de interferência/falsificação afete o recebimento de sinais de satélite. “Qualquer discordância entre o GNNS da aeronave e o GNSS externo sugerirá falsificação”, orienta o OpsGroup.
Existem aplicativos e sistemas de alerta que podem avisar pilotos sobre atividades de falsificação (spoofing) de sinais de satélites, e o OpsGroup recomenda o uso de produtos como o NaviGuard, do Aircraft Performance Group (APG).
O NaviGuard do APG é um aplicativo gratuito de detecção de anomalias de GPS [GNSS] para dispositivos Apple iOS. O NaviGuard oferece aos usuários uma maneira de verificar dados de posição usando auxílios de navegação tradicionais, como VOR e NDB. As zonas de falsificação (spoofing) em potencial são atualizadas com dados da EASA. O aplicativo foi criado para ser uma ferramenta de conscientização situacional e verificação de posição, não navegação. Além disso, o aplicativo permite que os usuários exportem dados, seja salvando-os em seus próprios dispositivos ou relatando anomalias aos reguladores.
A Send Solutions oferece um complemento para seu satélite Airtext+ Iridium que pode não apenas identificar e reportar falsificação (spoofing) e bloqueio/interferência (jamming) de sinais, mas também ajudar os pilotos a permanecerem na rota correta quando tais incidentes causam entradas de informações-dados navegação espúrios, usando informações do Iridium. Além da antena Airtext+ e Iridium, o sistema Spoof Proof (prova de falsificação), da Send Solutions, requer um anunciador, transportado a bordo como equipamento temporário ou instalado na cabine de comando.
Ao monitorar pelo menos três redes de satélites (GNSS) e rótulos do sistema de gerenciamento de vôo (FMS) ARINC 429, o Airtext+ pode comparar a posição do FMS da aeronave com uma posição “acurada” conhecida e detectar bloqueio/interferência e falsificação de sinal rapidamente, e então notificar a tripulação por meio do anunciador de que há um status de navegação questionável.
Ao mesmo tempo, o Airtext+ envia uma mensagem de texto ou e-mail para o controle de tráfego aéreo e entidades designadas, como despachantes de uma operadora, para notificar sobre as informações de posição corrompidas.
Por fim, o Airtext+ usa a última posição qualificada conhecida para fornecer uma posição de estimativa de alta resolução que os pilotos podem inserir no FMS para facilitar a navegação contínua.
O OpsGroup também recomenda que os pilotos ouçam os controladores de tráfego aéreo ou outros pilotos relatando interferência/falsificação, mantenham um registro de navegação – NAVLOG – atualizado em caso de necessidade de navegar por estimativa de posição e observem a data do navegador na página de sensores de aviônicos. “Uma mudança de data é um forte indicador de prováveis problemas na recuperação do receptor GPS após a falsificação”, aponta o OpsGroup.
As últimas etapas para a preparação de falsificação (spoofing) – prespoofing incluem:
– desmarcar a entrada do navegador para o FMS;
– desmarcar o modo híbrido do IRS para remover a entrada do navegador;
– definir o relógio como “interno” ou manual, “se possível, para proteger o CPDLC e outras funções de datalink”;
– inibir o modo de antecipação do EGPWS para “evitar alertas falsos em altitude de cruzeiro”; e,
– guardar (recolher) o HUD.
3 – dentro da área de falsificação (Inside spoofing Area)
O bloqueio/interferência de sinal (jamming) geralmente ocorre antes da falsificação do sinal (spoofing), mas uma vez que a falsificação se instala, uma variedade de falhas ocorrerá, variando de aumentos rápidos em EPU (estimated position uncertainty – incerteza de posição estimada) e ANP (actual navigation performance – desempenho real da navegação), advertências de discordância de posição para GNSS e IRS ou posição por FMS, mudanças de horário do relógio, falha do transponder com uma mensagem “ATC FAIL”, curvas repentinas do piloto-automático e falha do ADS-B. A visão sintética pode reverter, as indicações de vento mudam ou mostram dados ilógicos, as informações do navegador da página do sensor mostram valores incomuns e o EGPWS emite um aviso sonoro “PULL UP” durante fase de cruzeiro.
Os pilotos podem ver uma diferença em uma posição de GNSS portátil em comparação com a aviônica, uma diferença dramática entre GPS 1 e 2 e mensagens ACARS de centros de operações que vem valores incomuns em mensagens de downlink.
Perfil de falsificação (spoofing) OpsGroup
É importante durante um encontro de interferência/falsificação de sinal de satélite continuar pilotando o avião e então verificar se as configurações do sistema estão definidas para proteção contra falsificação de sinal, de acordo com o OpsGroup. Os pilotos podem querer voar no modo de proa (heading mode) enquanto solucionam problemas e devem reportar o evento ao órgão de controle de tráfego (ATC) e solicitar vetores ou confirmação da posição e trajetória corretas.
Usar navegação não-GNSS é importante, se disponível, e o Ops Group sugere inibir alertas de terreno EGPWS, o que “evita avisos falsos de PULL UP e etc. acionados por dado de altitude falsificado”.
4 – recuperação
Após sair da área de falsificação (spoofing) de sinal, a página do sensor deve mostrar a hora e a data de volta ao normal, velocidade com relação ao solo consistente com a velocidade real e exibição de navegação, e posição e altitude consistentes, de acordo com o OpsGroup.
O navegador e a navegação GNSS podem ser selecionados novamente para entrada no FMS, mas, se permitido, o receptor GNSS e o computador GPWS devem ser reiniciados.
Se alguns sistemas ainda falharem, tripulação deve informar o evento ao ATC. As instruções via CPDLC podem ser desconsideradas e isso não resultará na negativa de entrada no espaço aéreo, explicou o OpsGroup. Ainda é uma boa ideia usar auxílios de navegação convencionais para chegadas e procedimentos de aproximação, incluindo em aeroportos alternativos.
O OPsGroup alerta que pode haver alertas falsos de EGPWS porque estes são baseados em informações baseadas na navegação por GNSS, mas o GPWS baseado em radar-altímetro não é afetado pela falsificação. “Breves intenções para diferentes tipos de alerta”, aponta o OpsGroup. O briefing também deve incluir possíveis alertas que podem ocorrer na aproximação final.
Pós-vôo – as etapas finais para um evento de interferência/falsificação de sinal de satélite devem consistir no reporte do que aconteceu à autoridade aplicável, anotação das anomalias no Diário de Bordo – registros técnicos, e envio de um relatório sobre quaisquer impactos incomuns no sistema ao fabricante da aviônica. [EL] – tradução
