Op de laatste conferentie werd Black Hat gepresenteerd , gewijd aan beveiligingsproblemen bij satelliet-internettoegangssystemen. De auteur van het rapport demonstreerde met behulp van een goedkope DVB-ontvanger de mogelijkheid om internetverkeer te onderscheppen dat via satellietcommunicatiekanalen wordt verzonden.
De klant kan via asymmetrische of symmetrische kanalen verbinding maken met de satellietprovider. Bij een asymmetrisch kanaal wordt uitgaand verkeer van de client via de terrestrische provider verzonden en via de satelliet ontvangen. Bij symmetrische verbindingen passeert uitgaand en inkomend verkeer de satelliet. Pakketten die aan een cliënt zijn geadresseerd, worden vanaf de satelliet verzonden met behulp van een omroeptransmissie die verkeer van verschillende cliënten omvat, ongeacht hun geografische locatie. Het onderscheppen van dergelijk verkeer was niet moeilijk, maar het onderscheppen van verkeer afkomstig van een klant via de satelliet was nog niet zo eenvoudig.
Om gegevens uit te wisselen tussen de satelliet en de aanbieder wordt meestal gebruik gemaakt van gerichte transmissie, waarbij de aanvaller zich enkele tientallen kilometers van de infrastructuur van de aanbieder moet bevinden, en er wordt ook gebruik gemaakt van een ander frequentiebereik en coderingsformaten, waarvan de analyse dure apparatuur van de aanbieder vereist. . Maar zelfs als de provider de gebruikelijke Ku-band gebruikt, zijn de frequenties voor verschillende richtingen in de regel verschillend, wat het gebruik van een tweede satellietschotel vereist en het probleem van streamsynchronisatie voor onderschepping in beide richtingen oplost.
Er werd aangenomen dat voor het organiseren van het onderscheppen van satellietcommunicatie speciale apparatuur nodig was, die tienduizenden dollars kostte, maar in werkelijkheid werd een dergelijke aanval uitgevoerd met behulp van tuner voor satelliettelevisie (TBS 6983/6903) en paraboolantenne. De totale kosten van de aanvalskit bedroegen ongeveer $ 300. Om de antenne op de satellieten te richten, werd gebruik gemaakt van openbaar beschikbare informatie over de locatie van de satellieten, en om communicatiekanalen te detecteren werd een standaardapplicatie gebruikt die was ontworpen voor het zoeken naar satelliet-tv-kanalen. De antenne werd op de satelliet gericht en het scanproces begon .
Kanalen werden geïdentificeerd door pieken in het radiofrequentiespectrum te identificeren die merkbaar waren tegen de achtergrondruis. Nadat de piek was geïdentificeerd, werd de DVB-kaart geconfigureerd om het signaal te interpreteren en op te nemen als een reguliere digitale video-uitzending voor satelliettelevisie. Met behulp van testonderscheppingen werd de aard van het verkeer bepaald en werden internetgegevens gescheiden van digitale televisie (er werd een banale zoekopdracht gebruikt in de dump uitgegeven door de DVB-kaart met behulp van het "HTTP" -masker; indien gevonden, werd aangenomen dat er is een zender met internetdata gevonden).
Uit het verkeersonderzoek bleek dat alle geanalyseerde satelliet-internetproviders niet standaard gebruik maken van encryptie, waardoor het verkeer ongehinderd kan worden afgeluisterd. Het is opmerkelijk dat er waarschuwingen zijn over veiligheidsproblemen met satelliet-internet tien jaar geleden, maar sindsdien is de situatie niet veranderd, ondanks de introductie van nieuwe datatransmissiemethoden. De overgang naar het nieuwe GSE-protocol (Generic Stream Encapsulation) voor het inkapselen van internetverkeer en het gebruik van complexe modulatiesystemen zoals 32-dimensionale amplitudemodulatie en APSK (Phase Shift Keying) hebben aanvallen niet moeilijker gemaakt, maar de kosten van onderscheppingsapparatuur zijn wel gestegen. is nu gedaald van $ 50000 naar $ 300.
Een belangrijk nadeel bij het verzenden van gegevens via satellietcommunicatiekanalen is de zeer grote vertraging bij de pakketbezorging (~700 ms), die tientallen keren groter is dan de vertraging bij het verzenden van pakketten via terrestrische communicatiekanalen. Deze functie heeft twee aanzienlijke negatieve gevolgen voor de veiligheid: het gebrek aan wijdverbreid gebruik van VPN's en het gebrek aan bescherming tegen spoofing (pakketvervanging). Opgemerkt wordt dat het gebruik van VPN de transmissie met ongeveer 90% vertraagt, wat, rekening houdend met de grote vertragingen zelf, VPN praktisch niet toepasbaar maakt op satellietkanalen.
De kwetsbaarheid voor spoofing wordt verklaard door het feit dat de aanvaller volledig kan luisteren naar het verkeer dat naar het slachtoffer komt, waardoor het mogelijk wordt om de volgnummers in TCP-pakketten te bepalen die verbindingen identificeren. Wanneer een neppakket via een terrestrisch kanaal wordt verzonden, is het bijna gegarandeerd dat het eerder arriveert dan een echt pakket dat via een satellietkanaal wordt verzonden, met grote vertragingen en bovendien via een transitprovider.
De gemakkelijkste doelwitten voor aanvallen op gebruikers van satellietnetwerken zijn DNS-verkeer, niet-gecodeerde HTTP en e-mail, die doorgaans worden gebruikt door niet-gecodeerde clients. Voor DNS is het eenvoudig om het verzenden van fictieve DNS-antwoorden te organiseren die het domein koppelen aan de server van de aanvaller (de aanvaller kan een fictief antwoord genereren onmiddellijk nadat hij een verzoek in het verkeer heeft afgeluisterd, terwijl het echte verzoek nog steeds via de provider moet gaan die de server bedient het satellietverkeer). Met analyse van e-mailverkeer kunt u vertrouwelijke informatie onderscheppen. U kunt bijvoorbeeld het wachtwoordherstelproces op een website starten en in het verkeer een bericht bespioneren dat per e-mail is verzonden met een bevestigingscode voor de bewerking.
Tijdens het experiment werd ongeveer 4 TB aan gegevens onderschept die door 18 satellieten werden verzonden. De gebruikte configuratie zorgde in bepaalde situaties niet voor een betrouwbare onderschepping van verbindingen vanwege de hoge signaal-ruisverhouding en de ontvangst van onvolledige pakketten, maar de verzamelde informatie was voldoende voor compromissen. Enkele voorbeelden van wat er in de onderschepte gegevens werd aangetroffen:
- Navigatie-informatie en andere elektronische gegevens die naar vliegtuigen werden verzonden, werden onderschept. Deze informatie werd niet alleen onversleuteld verzonden, maar ook via hetzelfde kanaal als het verkeer van het algemene boordnetwerk, waarlangs passagiers e-mail versturen en websites bezoeken.
- De sessiecookie van de beheerder van een windgenerator in Zuid-Frankrijk, die zonder encryptie verbinding maakte met het besturingssysteem, werd onderschept.
- Er werd een uitwisseling van informatie over technische problemen aan een Egyptische olietanker onderschept. Naast informatie dat het schip ongeveer een maand niet de zee op zou kunnen, werd informatie ontvangen over de naam en het paspoortnummer van de ingenieur die verantwoordelijk was voor het oplossen van het probleem.
- Het cruiseschip zond gevoelige informatie uit over zijn op Windows gebaseerde lokale netwerk, inclusief verbindingsgegevens opgeslagen in LDAP.
- De Spaanse advocaat stuurde de cliënt een brief met details over de komende zaak.
- Tijdens het onderscheppen van verkeer naar het jacht van een Griekse miljardair werd een wachtwoord voor accountherstel onderschept dat per e-mail in Microsoft-services werd verzonden.
Bron: opennet.ru