All'ultima conferenza è stato presentato Black Hat , dedicato ai problemi di sicurezza nei sistemi di accesso a Internet via satellite. L'autore del rapporto, utilizzando un ricevitore DVB economico, ha dimostrato la possibilità di intercettare il traffico Internet trasmesso tramite i canali di comunicazione satellitare.
Il cliente può connettersi al provider satellitare tramite canali asimmetrici o simmetrici. Nel caso di un canale asimmetrico, il traffico in uscita dal cliente viene inviato tramite il provider terrestre e ricevuto tramite il satellite. Nei collegamenti simmetrici, il traffico in uscita e in entrata passa attraverso il satellite. I pacchetti indirizzati a un client vengono inviati dal satellite utilizzando una trasmissione broadcast che include il traffico di diversi client, indipendentemente dalla loro posizione geografica. Intercettare questo traffico non era difficile, ma intercettare via satellite il traffico proveniente da un cliente non era altrettanto semplice.
Per lo scambio di dati tra il satellite e il provider, viene solitamente utilizzata la trasmissione mirata, che richiede che l'aggressore si trovi a diverse decine di chilometri dall'infrastruttura del provider, e utilizza anche una gamma di frequenze e formati di codifica diversi, la cui analisi richiede costose apparecchiature del provider . Ma anche se il provider utilizza la solita banda Ku, di regola, le frequenze per le diverse direzioni sono diverse, il che richiede l'uso di una seconda parabola satellitare e la risoluzione del problema della sincronizzazione del flusso per l'intercettazione in entrambe le direzioni.
Si presumeva che per organizzare l'intercettazione delle comunicazioni satellitari fosse necessaria un'attrezzatura speciale, che costa decine di migliaia di dollari, ma in realtà un simile attacco è stato effettuato utilizzando sintonizzatore per televisione satellitare (TBS 6983/6903) e antenna parabolica. Il costo totale del kit di attacco era di circa $ 300. Per puntare l'antenna verso i satelliti, sono state utilizzate le informazioni disponibili al pubblico sulla posizione dei satelliti e per rilevare i canali di comunicazione è stata utilizzata un'applicazione standard progettata per la ricerca di canali TV satellitari. L'antenna è stata puntata verso il satellite e il processo di scansione è iniziato .
I canali sono stati identificati individuando i picchi nello spettro delle radiofrequenze che erano evidenti rispetto al rumore di fondo. Dopo aver identificato il picco, la scheda DVB è stata configurata per interpretare e registrare il segnale come una normale trasmissione video digitale per la televisione satellitare. Utilizzando intercettazioni di prova, è stata determinata la natura del traffico e i dati Internet sono stati separati dalla televisione digitale (è stata utilizzata una banale ricerca nel dump emesso dalla scheda DVB utilizzando la maschera "HTTP", se trovata, si è ritenuto che un canale con sono stati trovati dati su Internet).
Lo studio sul traffico ha dimostrato che tutti i provider Internet via satellite analizzati non utilizzano di default la crittografia, il che consente l'intercettazione del traffico senza ostacoli. È interessante notare che gli avvertimenti sui problemi di sicurezza di Internet via satellite dieci anni fa, ma da allora la situazione non è cambiata, nonostante l'introduzione di nuove modalità di trasmissione dei dati. Il passaggio al nuovo protocollo GSE (Generic Stream Encapsulation) per l’incapsulamento del traffico Internet e l’utilizzo di sistemi di modulazione complessi come la modulazione di ampiezza a 32 dimensioni e l’APSK (Phase Shift Keying) non hanno reso gli attacchi più difficili, ma il costo delle apparecchiature di intercettazione ora è sceso da $ 50000 a $ 300.
Uno svantaggio significativo quando si trasmettono dati tramite canali di comunicazione satellitare è il ritardo molto elevato nella consegna dei pacchetti (~700 ms), che è decine di volte maggiore del ritardo durante l'invio di pacchetti tramite canali di comunicazione terrestre. Questa caratteristica ha due significativi impatti negativi sulla sicurezza: la mancanza di un uso diffuso delle VPN e la mancanza di protezione contro lo spoofing (sostituzione dei pacchetti). Va notato che l'uso della VPN rallenta la trasmissione di circa il 90%, il che, tenendo conto dei grandi ritardi stessi, rende la VPN praticamente inapplicabile con i canali satellitari.
La vulnerabilità allo spoofing è spiegata dal fatto che l'aggressore può ascoltare completamente il traffico che arriva alla vittima, il che rende possibile determinare i numeri di sequenza nei pacchetti TCP che identificano le connessioni. Quando si invia un pacchetto falso tramite un canale terrestre, è quasi sicuro che arrivi prima di un pacchetto reale trasmesso tramite un canale satellitare con lunghi ritardi e inoltre passando attraverso un fornitore di transito.
Gli obiettivi più facili per gli attacchi agli utenti delle reti satellitari sono il traffico DNS, HTTP non crittografato ed e-mail, che vengono generalmente utilizzati da client non crittografati. Per il DNS è facile organizzare l'invio di risposte DNS fittizie che legano il dominio al server dell'attaccante (l'attaccante può generare una risposta fittizia immediatamente dopo aver ascoltato una richiesta nel traffico, mentre la richiesta reale deve ancora passare attraverso il provider che serve il traffico satellitare). L'analisi del traffico email consente di intercettare informazioni riservate, ad esempio è possibile avviare il processo di recupero della password su un sito Web e spiare nel traffico un messaggio inviato via email con un codice di conferma dell'operazione.
Durante l'esperimento sono stati intercettati circa 4 TB di dati trasmessi da 18 satelliti. La configurazione utilizzata in determinate situazioni non ha fornito un'intercettazione affidabile delle connessioni a causa dell'elevato rapporto segnale-rumore e della ricezione di pacchetti incompleti, ma le informazioni raccolte sono state sufficienti per il compromesso. Alcuni esempi di cosa è stato riscontrato nei dati intercettati:
- Le informazioni di navigazione e altri dati avionici trasmessi agli aerei sono stati intercettati. Queste informazioni non solo venivano trasmesse senza crittografia, ma anche nello stesso canale con il traffico della rete generale di bordo, attraverso il quale i passeggeri inviano posta e navigano su siti web.
- È stato intercettato il cookie di sessione dell'amministratore di un generatore eolico nel sud della Francia, che si collegava al sistema di controllo senza crittografia.
- È stato intercettato uno scambio di informazioni riguardanti problemi tecnici su una petroliera egiziana. Oltre all'informazione che la nave non avrebbe potuto prendere il mare per circa un mese, sono state ricevute informazioni sul nome e il numero di passaporto dell'ingegnere responsabile della risoluzione del problema.
- La nave da crociera trasmetteva informazioni sensibili sulla sua rete locale basata su Windows, inclusi i dati di connessione archiviati in LDAP.
- L'avvocato spagnolo ha inviato al cliente una lettera con i dettagli del caso imminente.
- Durante l'intercettazione del traffico sullo yacht di un miliardario greco, è stata intercettata una password di ripristino dell'account inviata via e-mail nei servizi Microsoft.
Fonte: opennet.ru