En la lasta konferenco estis prezentita Nigra Ĉapelo , dediĉita al sekurecproblemoj en satelitaj retalirsistemoj. La aŭtoro de la raporto, uzante malmultekostan DVB-ricevilon, pruvis la eblecon kapti Interretan trafikon transdonitan per satelitaj komunikaj kanaloj.
La kliento povas konektiĝi al la satelitprovizanto per nesimetriaj aŭ simetriaj kanaloj. En la kazo de nesimetria kanalo, elira trafiko de la kliento estas sendita tra la tera provizanto kaj ricevita per la satelito. En simetriaj ligiloj, eliranta kaj envenanta trafiko pasas tra la satelito. Pakaĵetoj adresitaj al kliento estas senditaj de la satelito uzante elsendan dissendon kiu inkludas trafikon de malsamaj klientoj, sendepende de ilia geografia loko. Ne estis malfacile kapti tian trafikon, sed kapti trafikon devenantan de kliento per satelito ne estis tiel facila.
Por interŝanĝi datumojn inter la satelito kaj la provizanto, oni kutime uzas fokusitan dissendon, kio postulas, ke la atakanto estu je pluraj dekoj da kilometroj de la infrastrukturo de la provizanto, kaj ankaŭ uzas malsaman frekvencintervalon kaj kodiformatojn, kies analizo postulas multekostajn provizantajn ekipaĵojn. . Sed eĉ se la provizanto uzas la kutiman Ku-bandon, kiel regulo, la frekvencoj por malsamaj direktoj estas malsamaj, kio postulas la uzon de dua paraboleno kaj solvi la problemon de fluo-sinkronigo por interkapto en ambaŭ direktoj.
Oni supozis, ke por organizi la interkapton de satelitaj komunikadoj, necesas speciala ekipaĵo, kiu kostas dekojn da miloj da dolaroj, sed fakte tia atako estis farita uzante sintonigilo por satelita televido (TBS 6983/6903) kaj parabola anteno. La totalkosto de la atakkompleto estis ĉirkaŭ 300 USD. Por direkti la antenon al la satelitoj, publike haveblaj informoj pri la loko de la satelitoj estis utiligitaj, kaj por detekti komunikajn kanalojn, norma aplikaĵo dizajnita por serĉado de satelittelevidaj kanaloj estis uzita. La anteno estis direktita al la satelito kaj la skanado komenciĝis .
Kanaloj estis identigitaj identigante pintojn en la radiofrekvenca spektro kiuj estis videblaj kontraŭ la fona bruo. Post identigado de la pinto, la DVB-karto estis agordita por interpreti kaj registri la signalon kiel regula cifereca videelsendo por satelita televido. Helpe de testaj interkaptoj, la naturo de la trafiko estis determinita kaj interretaj datumoj estis apartigitaj de cifereca televido (banala serĉo estis uzita en la rubejo eldonita de la DVB-karto uzante la "HTTP" maskon, se trovite, oni konsideris ke kanalo kun interretaj datumoj estis trovita).
La trafika studo montris, ke ĉiuj analizitaj satelitaj interretaj provizantoj ne uzas ĉifradon defaŭlte, kio permesas senbaran trafikan subaŭskultadon. Estas rimarkinde, ke avertoj pri satelitaj interretaj sekurecaj problemoj antaŭ dek jaroj, sed de tiam la situacio ne ŝanĝiĝis, malgraŭ la enkonduko de novaj datumtranssendometodoj. La transiro al la nova GSE (Generic Stream Encapsulation) protokolo por enkapsuligi interretan trafikon kaj la uzo de kompleksaj modulaj sistemoj kiel ekzemple 32-dimensia amplitudmodulado kaj APSK (Phase Shift Keying) ne malfaciligis atakojn, sed la kosto de interkapta ekipaĵo. nun falis de $50000 ĝis $300.
Signifa malavantaĝo dum elsendado de datenoj per satelitaj komunikadkanaloj estas la tre granda prokrasto en pakaĵeto (~700 ms), kio estas dekoble pli granda ol la prokrasto dum sendado de pakaĵetoj per surteraj komunikadkanaloj. Ĉi tiu funkcio havas du signifajn negativajn efikojn al sekureco: la manko de ĝeneraligita uzo de VPN-oj kaj la manko de protekto kontraŭ falsigo (anstataŭigo de pakaĵetoj). Oni rimarkas, ke la uzo de VPN malrapidigas transdonon je proksimume 90%, kio, konsiderante la grandajn malfruojn mem, faras VPN preskaŭ neaplikebla kun satelitaj kanaloj.
La vundebleco al spoofing estas klarigita per la fakto, ke la atakanto povas tute aŭskulti la trafikon venantan al la viktimo, kio ebligas determini la sinsekvojn en TCP-pakoj identigantaj ligojn. Sendante falsan pakaĵon per tera kanalo, ĝi estas preskaŭ garantiita alveni antaŭ vera pakaĵeto elsendita per satelita kanalo kun longaj prokrastoj kaj aldone trapasanta transitprovizanto.
La plej facilaj celoj por atakoj kontraŭ satelitretaj uzantoj estas DNS-trafiko, neĉifrita HTTP kaj retpoŝto, kiuj estas kutime uzataj de neĉifritaj klientoj. Por DNS, estas facile organizi la sendon de fikciaj DNS-respondoj, kiuj ligas la domajnon al la servilo de la atakanto (la atakanto povas generi fikcian respondon tuj post aŭdado de peto en la trafiko, dum la vera peto ankoraŭ devas pasi tra la provizanto servanta). la satelita trafiko). Analizo de retpoŝta trafiko permesas vin kapti konfidencajn informojn, ekzemple, vi povas komenci la pasvortan reakiron en retejo kaj spioni en la trafiko mesaĝon senditan retpoŝte kun konfirma kodo por la operacio.
Dum la eksperimento, ĉirkaŭ 4 TB de datumoj transdonitaj de 18 satelitoj estis kaptitaj. La uzita konfiguracio en certaj situacioj ne disponigis fidindan interkapton de ligoj pro la alta signalo-bruo-proporcio kaj la kvitanco de nekompletaj pakaĵetoj, sed la kolektitaj informoj estis sufiĉaj por kompromiso. Kelkaj ekzemploj de kio estis trovita en la kaptitaj datumoj:
- Navigaciinformoj kaj aliaj aviadikodatenoj elsenditaj al aviadiloj estis kaptitaj. Ĉi tiu informo ne nur estis transdonita sen ĉifrado, sed ankaŭ en la sama kanalo kun la trafiko de la ĝenerala surŝipa reto, tra kiu pasaĝeroj sendas poŝton kaj foliumas retejojn.
- La sesio Kuketo de la administranto de ventogeneratoro en la sudo de Francio, kiu konektis al la kontrolsistemo sen ĉifrado, estis kaptita.
- Interŝanĝo de informoj koncerne teknikajn problemojn sur egipta petrolŝipo estis kaptita. Krom informoj, ke la ŝipo ne povos iri al la maro dum ĉirkaŭ unu monato, oni ricevis informojn pri la nomo kaj pasporta numero de la inĝeniero respondeca pri riparo de la problemo.
- La krozoŝipo elsendis sentemajn informojn pri sia Vindozo-bazita loka reto, inkluzive de konektodatenoj stokitaj en LDAP.
- La hispana advokato sendis al la kliento leteron kun detaloj pri la venonta kazo.
- Dum la interkapto de trafiko al la jakto de greka miliardulo, konto-reakiro pasvorto sendita retpoŝte en Microsoft-servoj estis kaptita.
fonto: opennet.ru