На минулій конференції Black Hat було представлено , присвячений проблемам безпеки в системах супутникового доступу до інтернету. Автор доповіді, використовуючи недорогий DVB-приймач, продемонстрував можливість перехоплення інтернет-трафіку, що передається через супутникові канали зв'язку.
Клієнт може підключатися до провайдера супутникового зв'язку через асиметричні чи симетричні канали. У разі асиметричного каналу вихідний трафік від клієнта відправляється через наземного провайдера, а приймається через супутник. У симетричних каналах вихідний та вхідний трафік проходить через супутник. Адресовані клієнту пакети відправляються із супутника з використанням широкомовної передачі, що включає трафік різних клієнтів, незалежно від їхнього територіального розміщення. Подібний трафік перехопити не склало труднощів, але перехопити трафік, що відправляється через супутник вихідний від клієнта, виявилося не так просто.
Для обміну даними між супутником і провайдером зазвичай використовується сфокусована передача, що вимагає, щоб атакуючий знаходився за кілька десятків кілометрів від інфраструктури провайдера, а також застосовуються інший частотний діапазон і формати кодування, аналіз яких вимагає наявності дорогого провайдерського обладнання. Але навіть якщо провайдер використовує звичайний Ku-діапазон, зазвичай частоти для різних напрямків відрізняються, що вимагає для перехоплення в обох напрямках застосування другої супутникової тарілки та вирішення задачі синхронізації потоків.
Передбачалося, що для організації перехоплення супутникових комунікацій необхідне спецобладнання, яке коштує десятки тисяч доларів, але насправді таку атаку вдалося реалізувати за допомогою тюнера для супутникового телебачення (TBS 6983/6903) та параболічної антени. Загальна вартість набору для атаки становила приблизно 300 доларів. Для направлення антени на супутники використовувалася загальнодоступна інформація про розташування супутників, а для виявлення каналів зв'язку застосовувалася типова програма, призначена для пошуку супутникових телеканалів. Антена прямувала на супутник та запускався процес сканування .
Канали ідентифікувалися через визначення піків у радіочастотному спектрі, помітних на фоні загального шуму. Після виявлення піку DVB-карта налаштовувалась на інтерпретацію та запис сигналу як звичайної цифрової відеотрансляції для супутникового телебачення. За допомогою пробних перехоплень визначався характер трафіку та відокремлювалися інтернет-дані від цифрового телебачення (застосовувався банальний пошук у виданій DVB-картою дампі по масці «HTTP», у разі знаходження якої вважалося, що знайдено канал з інтернет-даними).
Дослідження трафіку показало, що всі проаналізовані провайдери супутникового інтернету не застосовують за замовчуванням шифрування, що дозволяє безперешкодно прослуховувати трафік. Примітно, що попередження про проблеми з безпекою супутникового Інтернету ще десять років тому, але з того часу ситуація не змінилася, незважаючи на впровадження нових методів передачі даних. Перехід на новий протокол GSE (Generic Stream Encapsulation) для інкапсуляції інтернет-трафіку та застосування складних систем модуляції, таких як 32-вимірна амплітудна модуляція та APSK (Phase Shift Keying), не ускладнили проведення атак, але вартість обладнання для перехоплення тепер знизилася з $50000 до $300.
Значним недоліком при передачі даних через супутникові канали зв'язку є дуже велика затримка доставки пакетів (~700 ms), яка в десятки разів перевищує затримки під час відправлення пакетів наземними каналами зв'язку. Ця особливість має два істотні негативні впливи на безпеку: нерозповсюдженість VPN і незахищеність проти спуфінгу (підміни пакетів). Зазначається, що застосування VPN уповільнює передачу приблизно на 90%, що з урахуванням самих по собі великих затримок робить VPN практично не застосовним із супутниковими каналами.
Незахищеність від спуфінгу пояснюється тим, що атакуючий може повністю прослуховувати трафік, що приходить до жертви, що дозволяє визначати ідентифікуючі з'єднання номера послідовностей у TCP-пакетах. При відправленні підробленого пакета через наземний канал він практично гарантовано прийде раніше реального пакета, що передається супутниковим каналом з великими затримками і додатково проходить через транзитного провайдера.
Найбільш легкою метою для атак на користувачів супутникових мереж є DNS-трафік, незашифрований HTTP та електронна пошта, які зазвичай використовуються клієнтами без шифрування. Для DNS легко організувати відправку фіктивних DNS-відповідей, що прив'язують домен до сервера атакуючого (атакуючий може згенерувати фіктивну відповідь відразу після того, як підслухав у трафіку запит, тоді як реальний запит ще має пройти через провайдера, який обслуговує супутниковий трафік). Аналіз поштового трафіку дозволяє перехоплювати конфіденційну інформацію, наприклад, можна ініціювати процес відновлення пароля на сайті та підглянути у трафіку відправлене по email повідомлення з кодом підтвердження операції.
У ході експерименту було перехоплено близько 4 ТБ даних, що передаються 18 супутниками. Використана конфігурація в певних ситуаціях не забезпечувала надійного перехоплення з'єднань через високе співвідношення сигнал-шум і отримання неповних пакетів, але інформації, що збирається, виявилося достатньо для компрометації. Деякі приклади того, що вдалося знайти в перехоплених даних:
- Перехоплено передану на літаки навігаційну інформацію та інші дані авіоніки. Дані не тільки передавалися без шифрування, але й в одному каналі з трафіком загальної бортової мережі, через яку пасажири відправляють пошту і переглядають сайти.
- Перехоплено сесійну Cookie адміністратора вітрогенератора на півдні Франції, що підключився до системи управління без шифрування.
- Перехоплено обмін інформацією про технічні проблеми на єгипетському нафтовому танкері. Крім відомостей про те, що судно не зможе близько місяця вийти в море, було отримано дані про ім'я та номер паспорта інженера, відповідального за усунення несправності.
- Круїзний лайнер передавав конфіденційну інформацію про свою локальну мережу на базі Windows, включаючи дані про підключення, що зберігаються в LDAP.
- Іспанський юрист відправив клієнту листа з деталями про майбутню справу.
- Під час перехоплення трафіку до яхти грецького мільярдера було перехоплено відправлений по email пароль відновлення облікового запису в сервісах Microsoft.
Джерело: opennet.ru