Lors de la récente conférence Black Hat, il a été présenté , consacré aux questions de sécurité des systèmes d'accès à Internet par satellite. L'auteur du rapport, utilisant un récepteur DVB peu coûteux, a démontré la possibilité d'intercepter le trafic Internet transmis via les canaux de communication par satellite.
Le client peut se connecter au fournisseur satellite via des canaux asymétriques ou symétriques. Dans le cas d'un canal asymétrique, le trafic sortant du client est envoyé via le fournisseur terrestre et reçu via le satellite. Dans les canaux symétriques, le trafic entrant et sortant transite par le satellite. Les paquets adressés au client sont envoyés depuis le satellite par diffusion, incluant le trafic de différents clients, quelle que soit leur localisation géographique. Intercepter ce trafic n'était pas difficile, mais intercepter le trafic sortant du client via le satellite l'était moins.
Pour échanger des données entre le satellite et le fournisseur, on utilise généralement une transmission focalisée, ce qui nécessite que l'attaquant se trouve à plusieurs dizaines de kilomètres de l'infrastructure du fournisseur. On utilise également une gamme de fréquences et des formats de codage différents, dont l'analyse nécessite des équipements coûteux. Cependant, même si le fournisseur utilise la bande Ku habituelle, les fréquences diffèrent généralement selon les directions, ce qui nécessite l'utilisation d'une deuxième antenne parabolique et la résolution du problème de synchronisation des flux pour l'interception dans les deux sens.
On pensait qu'un équipement spécial coûtant des dizaines de milliers de dollars était nécessaire pour organiser l'interception des communications par satellite, mais en réalité une telle attaque a été menée avec l'aide de Un tuner TV satellite (TBS 6983/6903) et une antenne parabolique. Le coût total du kit d'attaque s'élevait à environ 300 dollars. Des informations de localisation satellite accessibles au public ont permis de pointer l'antenne vers les satellites, et un logiciel standard de recherche de chaînes de télévision par satellite a permis de localiser les canaux de communication. L'antenne a été pointée vers le satellite et le processus de balayage a été lancé. .
Les chaînes ont été identifiées en détectant des pics dans le spectre des fréquences radio, visibles sur fond de bruit général. Après détection du pic, la carte DVB a été configurée pour interpréter et enregistrer le signal comme une diffusion vidéo numérique standard pour la télévision par satellite. Des interceptions tests ont permis de déterminer la nature du trafic et de séparer les données Internet de la télévision numérique (une recherche banale a été effectuée dans le fichier de données généré par la carte DVB par le masque « HTTP », ce qui a permis de considérer qu'une chaîne contenant des données Internet avait été trouvée).
L'étude de trafic a montré que tous les fournisseurs d'accès Internet par satellite analysés n'utilisent pas le chiffrement par défaut, ce qui permet d'écouter le trafic sans entrave. Des avertissements concernant les problèmes de sécurité de l'accès Internet par satellite ont notamment été émis. Il y a dix ans, la situation n'a pas changé depuis, malgré l'introduction de nouvelles méthodes de transmission de données. Le passage au nouveau protocole GSE (Generic Stream Encapsulation) pour l'encapsulation du trafic Internet et l'utilisation de systèmes de modulation complexes tels que la modulation d'amplitude à 32 dimensions et l'APSK (Phase Shift Keying) n'ont pas compliqué les attaques, mais le coût des équipements d'interception est passé de 50000 300 à XNUMX dollars.
Un inconvénient majeur de la transmission de données par satellite est le délai très important de livraison des paquets (environ 700 ms), dix fois supérieur à celui des paquets envoyés par voie terrestre. Cette caractéristique a deux impacts négatifs majeurs sur la sécurité : l'absence de VPN et la vulnérabilité à l'usurpation d'identité (substitution de paquets). Il est à noter que l'utilisation d'un VPN ralentit la transmission d'environ 90 %, ce qui, compte tenu des délais importants, rend le VPN pratiquement inapplicable aux canaux satellite.
La vulnérabilité à l'usurpation d'identité s'explique par le fait que l'attaquant peut écouter l'intégralité du trafic arrivant à la victime, ce qui lui permet d'identifier les numéros de séquence de connexion dans les paquets TCP. Lorsqu'un faux paquet est envoyé par voie terrestre, il est quasiment certain qu'il arrivera plus tôt que le vrai paquet, transmis par voie satellite avec des retards importants et transitant par un fournisseur de transit.
Les cibles les plus faciles pour les attaques contre les utilisateurs de réseaux satellites sont le trafic DNS, le HTTP non chiffré et les e-mails, généralement utilisés par les clients non chiffrés. Pour le DNS, il est facile d'organiser l'envoi de fausses réponses DNS liant le domaine au serveur de l'attaquant (ce dernier peut générer une fausse réponse immédiatement après avoir intercepté une requête dans le trafic, tandis que la véritable requête doit encore transiter par le fournisseur gérant le trafic satellite). L'analyse du trafic de messagerie permet d'intercepter des informations confidentielles. Par exemple, vous pouvez lancer la récupération du mot de passe d'un site web et espionner l'e-mail contenant le code de confirmation.
Au cours de l'expérience, environ 4 To de données transmises par 18 satellites ont été interceptées. La configuration utilisée dans certaines situations n'a pas permis une interception fiable des connexions en raison du rapport signal/bruit élevé et de la réception de paquets incomplets, mais les informations collectées ont été suffisantes pour compromettre l'expérience. Voici quelques exemples de données interceptées :
- Les informations de navigation et autres données avioniques transmises à l'avion ont été interceptées. Non seulement ces informations ont été transmises sans cryptage, mais elles ont également été transmises sur le même canal que le trafic du réseau général de bord, par lequel les passagers envoient des e-mails et consultent des sites web.
- Un cookie de session d'un administrateur d'éolienne dans le sud de la France a été intercepté alors qu'il se connectait au système de contrôle sans cryptage.
- Un échange d'informations concernant des problèmes techniques sur un pétrolier égyptien a été intercepté. Outre l'information selon laquelle le navire ne pourra pas prendre la mer pendant environ un mois, le nom et le numéro de passeport de l'ingénieur chargé de la résolution du problème ont également été obtenus.
- Le navire de croisière divulguait des informations sensibles sur son réseau local basé sur Windows, y compris des données de connexion stockées dans LDAP.
- Un avocat espagnol a envoyé à un client une lettre contenant les détails d’une affaire à venir.
- Lors de l'interception du trafic vers le yacht d'un milliardaire grec, un mot de passe envoyé par email pour restaurer un compte dans les services Microsoft a été intercepté.
Source: opennet.ru
