En la última conferencia se presentó Black Hat , dedicado a los problemas de seguridad en los sistemas de acceso a Internet por satélite. El autor del informe, utilizando un receptor DVB económico, demostró la posibilidad de interceptar el tráfico de Internet transmitido a través de canales de comunicación por satélite.
El cliente puede conectarse al proveedor de satélite mediante canales asimétricos o simétricos. En el caso de un canal asimétrico, el tráfico saliente del cliente se envía a través del proveedor terrestre y se recibe a través del satélite. En enlaces simétricos, el tráfico saliente y entrante pasa a través del satélite. Los paquetes dirigidos a un cliente se envían desde el satélite mediante una transmisión de difusión que incluye tráfico de diferentes clientes, independientemente de su ubicación geográfica. No fue difícil interceptar dicho tráfico, pero interceptar el tráfico procedente de un cliente vía satélite no fue tan fácil.
Para el intercambio de datos entre el satélite y el proveedor se suele utilizar la transmisión enfocada, lo que requiere que el atacante se encuentre a varias decenas de kilómetros de la infraestructura del proveedor, y también utiliza un rango de frecuencia diferente y formatos de codificación, cuyo análisis requiere costosos equipos del proveedor. . Pero incluso si el proveedor utiliza la banda Ku habitual, como regla general, las frecuencias para diferentes direcciones son diferentes, lo que requiere el uso de una segunda antena parabólica y resolver el problema de la sincronización de la transmisión para la interceptación en ambas direcciones.
Se suponía que para organizar la interceptación de las comunicaciones por satélite se necesitaba equipo especial, que cuesta decenas de miles de dólares, pero en realidad tal ataque se llevó a cabo utilizando Sintonizador para televisión por satélite (TBS 6983/6903) y antena parabólica. El costo total del kit de ataque fue de aproximadamente 300 dólares. Para apuntar la antena a los satélites se utilizó información disponible públicamente sobre la ubicación de los satélites y para detectar canales de comunicación se utilizó una aplicación estándar diseñada para buscar canales de televisión por satélite. La antena apuntó al satélite y se inició el proceso de escaneo. .
Los canales se identificaron identificando picos en el espectro de radiofrecuencia que se notaban en el ruido de fondo. Después de identificar el pico, se configuró la tarjeta DVB para interpretar y grabar la señal como una transmisión de vídeo digital normal para televisión por satélite. Con la ayuda de interceptaciones de prueba, se determinó la naturaleza del tráfico y se separaron los datos de Internet de la televisión digital (se realizó una búsqueda banal en el volcado emitido por la tarjeta DVB utilizando la máscara "HTTP", si se encontraba, se consideró que se había encontrado un canal con datos de Internet).
El estudio de tráfico mostró que todos los proveedores de Internet por satélite analizados no utilizan cifrado de forma predeterminada, lo que permite escuchar el tráfico sin obstáculos. Cabe destacar que las advertencias sobre problemas de seguridad de Internet satelital hace diez años, pero desde entonces la situación no ha cambiado, a pesar de la introducción de nuevos métodos de transmisión de datos. La transición al nuevo protocolo GSE (Generic Stream Encapsulation) para encapsular el tráfico de Internet y el uso de sistemas de modulación complejos como la modulación de amplitud de 32 dimensiones y APSK (Phase Shift Keying) no han dificultado los ataques, pero sí el coste de los equipos de interceptación. ahora ha bajado de $50000 a $300.
Un inconveniente importante al transmitir datos a través de canales de comunicación por satélite es el gran retraso en la entrega de paquetes (~700 ms), que es decenas de veces mayor que el retraso al enviar paquetes a través de canales de comunicación terrestre. Esta característica tiene dos impactos negativos importantes en la seguridad: la falta de uso generalizado de VPN y la falta de protección contra la suplantación de identidad (sustitución de paquetes). Cabe señalar que el uso de VPN ralentiza la transmisión en aproximadamente un 90%, lo que, teniendo en cuenta los grandes retrasos, hace que VPN sea prácticamente inaplicable con canales satelitales.
La vulnerabilidad a la suplantación de identidad se explica por el hecho de que el atacante puede escuchar completamente el tráfico que llega a la víctima, lo que le permite determinar los números de secuencia en los paquetes TCP que identifican las conexiones. Al enviar un paquete falso a través de un canal terrestre, es casi seguro que llegará antes que un paquete real transmitido a través de un canal satelital con grandes retrasos y además pasando por un proveedor de tránsito.
Los objetivos más fáciles para los ataques a los usuarios de redes satelitales son el tráfico DNS, el HTTP no cifrado y el correo electrónico, que suelen utilizar los clientes no cifrados. Para DNS, es fácil organizar el envío de respuestas DNS ficticias que vinculan el dominio al servidor del atacante (el atacante puede generar una respuesta ficticia inmediatamente después de escuchar una solicitud en el tráfico, mientras que la solicitud real aún debe pasar a través del proveedor que atiende el tráfico satelital). El análisis del tráfico de correo electrónico permite interceptar información confidencial, por ejemplo, puede iniciar el proceso de recuperación de contraseña en un sitio web y espiar en el tráfico un mensaje enviado por correo electrónico con un código de confirmación de la operación.
Durante el experimento se interceptaron unos 4 TB de datos transmitidos por 18 satélites. La configuración utilizada en determinadas situaciones no proporcionó una interceptación fiable de las conexiones debido a la alta relación señal-ruido y a la recepción de paquetes incompletos, pero la información recopilada fue suficiente para comprometerse. Algunos ejemplos de lo encontrado en los datos interceptados:
- Se interceptaron información de navegación y otros datos de aviónica transmitidos a la aeronave. Esta información no sólo se transmitía sin cifrar, sino también en el mismo canal que el tráfico de la red general de a bordo, a través del cual los pasajeros envían correo y navegan por sitios web.
- Se interceptó la cookie de sesión del administrador de un aerogenerador del sur de Francia, que se conectaba al sistema de control sin cifrar.
- Se interceptó un intercambio de información sobre problemas técnicos en un petrolero egipcio. Además de la información de que el barco no podría hacerse a la mar durante aproximadamente un mes, se recibió información sobre el nombre y número de pasaporte del ingeniero responsable de solucionar el problema.
- El crucero estaba transmitiendo información confidencial sobre su red local basada en Windows, incluidos datos de conexión almacenados en LDAP.
- El abogado español envió al cliente una carta con detalles del próximo caso.
- Durante la interceptación del tráfico hacia el yate de un multimillonario griego, se interceptó una contraseña de recuperación de cuenta enviada por correo electrónico en los servicios de Microsoft.
Fuente: opennet.ru