Lors de la dernière conférence, Black Hat a été présenté , dédié aux problèmes de sécurité des systèmes d'accès à Internet par satellite. L'auteur du rapport, à l'aide d'un récepteur DVB peu coûteux, a démontré la possibilité d'intercepter le trafic Internet transmis via les canaux de communication par satellite.
Le client peut se connecter au fournisseur satellite via des canaux asymétriques ou symétriques. Dans le cas d'un canal asymétrique, le trafic sortant du client est envoyé via le fournisseur terrestre et reçu via le satellite. Dans les liaisons symétriques, le trafic sortant et entrant transite par le satellite. Les paquets adressés à un client sont envoyés depuis le satellite à l'aide d'une transmission de diffusion qui inclut le trafic de différents clients, quelle que soit leur situation géographique. Il n'était pas difficile d'intercepter un tel trafic, mais intercepter le trafic provenant d'un client via satellite n'était pas si simple.
Pour échanger des données entre le satellite et le fournisseur, on utilise généralement une transmission ciblée, qui nécessite que l'attaquant se trouve à plusieurs dizaines de kilomètres de l'infrastructure du fournisseur, et utilise également une gamme de fréquences et des formats de codage différents, dont l'analyse nécessite un équipement coûteux du fournisseur. . Mais même si le fournisseur utilise la bande Ku habituelle, en règle générale, les fréquences dans différentes directions sont différentes, ce qui nécessite l'utilisation d'une deuxième antenne parabolique et résout le problème de la synchronisation des flux pour l'interception dans les deux sens.
On supposait que pour organiser l'interception des communications par satellite, il fallait un équipement spécial, qui coûte des dizaines de milliers de dollars, mais en réalité, une telle attaque a été menée en utilisant tuner pour télévision par satellite (TBS 6983/6903) et antenne parabolique. Le coût total du kit d'attaque était d'environ 300 $. Pour pointer l'antenne vers les satellites, des informations accessibles au public sur l'emplacement des satellites ont été utilisées et pour détecter les canaux de communication, une application standard conçue pour rechercher des chaînes de télévision par satellite a été utilisée. L'antenne était pointée vers le satellite et le processus de balayage a commencé .
Les canaux ont été identifiés en identifiant les pics du spectre des fréquences radio qui étaient perceptibles par rapport au bruit de fond. Après avoir identifié le pic, la carte DVB a été configurée pour interpréter et enregistrer le signal comme une diffusion vidéo numérique ordinaire pour la télévision par satellite. A l'aide d'interceptions tests, la nature du trafic a été déterminée et les données Internet ont été séparées de la télévision numérique (une recherche banale a été utilisée dans le dump émis par la carte DVB en utilisant le masque « HTTP », s'il était trouvé, il a été considéré que un canal avec des données Internet a été trouvé).
L'étude du trafic a montré que tous les fournisseurs Internet par satellite analysés n'utilisent pas par défaut le cryptage, ce qui permet une écoute sans entrave du trafic. Il est à noter que les avertissements concernant les problèmes de sécurité de l'Internet par satellite il y a dix ans, mais depuis lors, la situation n'a pas changé, malgré l'introduction de nouveaux modes de transmission de données. Le passage au nouveau protocole GSE (Generic Stream Encapsulation) pour encapsuler le trafic Internet et l'utilisation de systèmes de modulation complexes tels que la modulation d'amplitude 32 dimensions et l'APSK (Phase Shift Keying) n'ont pas rendu les attaques plus difficiles, mais le coût des équipements d'interception est maintenant passé de 50000 300 $ à XNUMX $.
Un inconvénient important lors de la transmission de données via des canaux de communication par satellite est le très grand délai de livraison des paquets (~ 700 ms), qui est des dizaines de fois supérieur au délai d'envoi de paquets via des canaux de communication terrestres. Cette fonctionnalité a deux impacts négatifs importants sur la sécurité : le manque d'utilisation généralisée des VPN et le manque de protection contre l'usurpation d'identité (substitution de paquets). Il est à noter que l'utilisation du VPN ralentit la transmission d'environ 90 %, ce qui, compte tenu des délais eux-mêmes importants, rend le VPN pratiquement inapplicable avec les chaînes satellite.
La vulnérabilité au spoofing s'explique par le fait que l'attaquant peut écouter complètement le trafic arrivant à la victime, ce qui permet de déterminer les numéros de séquence dans les paquets TCP identifiant les connexions. Lors de l'envoi d'un faux paquet via un canal terrestre, il est presque garanti qu'il arrivera avant un vrai paquet transmis via un canal satellite avec de longs délais et passant en outre par un fournisseur de transit.
Les cibles les plus faciles pour les attaques contre les utilisateurs du réseau satellite sont le trafic DNS, le HTTP non chiffré et le courrier électronique, qui sont généralement utilisés par les clients non chiffrés. Pour le DNS, il est facile d'organiser l'envoi de réponses DNS fictives qui relient le domaine au serveur de l'attaquant (l'attaquant peut générer une réponse fictive immédiatement après avoir entendu une requête dans le trafic, alors que la vraie requête doit toujours passer par le fournisseur desservant le trafic satellite). L'analyse du trafic de courrier électronique permet d'intercepter des informations confidentielles, par exemple, vous pouvez lancer le processus de récupération de mot de passe sur un site Web et espionner dans le trafic un message envoyé par courrier électronique avec un code de confirmation de l'opération.
Au cours de l'expérience, environ 4 To de données transmises par 18 satellites ont été interceptées. La configuration utilisée dans certaines situations ne permettait pas une interception fiable des connexions en raison du rapport signal/bruit élevé et de la réception de paquets incomplets, mais les informations collectées étaient suffisantes pour compromettre. Quelques exemples de ce qui a été trouvé dans les données interceptées :
- Les informations de navigation et autres données avioniques transmises aux avions ont été interceptées. Ces informations étaient non seulement transmises sans cryptage, mais également sur le même canal que le trafic du réseau général de bord, à travers lequel les passagers envoient du courrier et naviguent sur des sites Web.
- La session Cookie de l'administrateur d'une éolienne dans le sud de la France, qui s'est connecté au système de contrôle sans cryptage, a été interceptée.
- Un échange d'informations concernant des problèmes techniques sur un pétrolier égyptien a été intercepté. Outre les informations selon lesquelles le navire ne pourrait pas prendre la mer avant environ un mois, des informations ont été reçues sur le nom et le numéro de passeport de l'ingénieur chargé de résoudre le problème.
- Le navire de croisière transmettait des informations sensibles sur son réseau local Windows, y compris des données de connexion stockées dans LDAP.
- L'avocat espagnol a envoyé au client une lettre contenant des détails sur l'affaire à venir.
- Lors de l'interception du trafic vers le yacht d'un milliardaire grec, un mot de passe de récupération de compte envoyé par email dans les services Microsoft a été intercepté.
Source: opennet.ru