360安全研究院独角兽安全团队,在刚刚过去的POC2019韩国黑客大会上公开了近期关于卫星通信安全的一些成果:

1)Comtech调制解调器的远程控制功能缺少对控制设备进行物理地址认证和时间认证,可被重放攻击,使正常通信的卫星链路切断;

2)BlockStream的比特币卫星项目,没有对卫星传输的空口数据进行加密,可向卫星发射伪造的比特币交易信号,漏洞编号CVE-2019-9690.

卫星通信网络基础

卫星通信的应用非常广泛,常用于以下行业:

  • 银行、石油行业

  • 航空航天行业

  • 广播媒体行业

  • 电信行业

典型的卫星通信网络依据架构可以分为点对点、星状网、网状网等不同架构,其中点对点网络一般用于需要远程组网的企业和军队等,星状网和网状网也较多用于军队、互联网、电信行业等业务。简单的点对点卫星网络架构如下图:

通信卫星的重要载荷--转发器

通信卫星上一个重要的组成器件是通信转发器 ,根据转发器的结构,大致可以分为三类:弯管透明转发器、数字透明转发器、再生转发器。也可以分为两类,即为透明转发器和再生转发器。

  • 透明转发器的原理是不对通信信号做任何处理,当卫星接收来自地面站发射的信号后,经过LNA放大后,与卫星转发器的本振频率进行混频,将混频后的信号过滤后经过TWTA行波管放大器、卫星天线直接发射到地面。

  • 再生转发器与透明转发器不同,它将来自地面的信号经过解调解码工作,还原成基带数据,然后经过转发器的内部数据交换等处理后,重新调制再经过功率放大器(一般采用线性固态功率放大器)和天线发射到地面。

其中透明转发器目前应用最为广泛,为当前全球通信卫星的主要转发器。我们可以原理看出,透明转发不对信号做任何处理,再生转发将对信号解调并重新调制,这是他们的根本区别。再生转发需要以固定不变的调制方式和参数才能兼容地面终端,并且由于星上对信号处理,处理能力的限制和卫星上电能的珍贵,此转发器目前应用不多。而透明转发不同,由于不对信号做处理,通信链路的改变仅需改变地面站设备,无需升级卫星设备,所以应用较广。透明转发近几年含有一些星上信道交换,原理上仍属于透明转发。

但并非代表透明转发相较于再生转发有较大的优势,再生转发体制拥有更好的频谱资源利用率、纠错抗干扰能力、低延迟等优势。例如通信卫星通常采用GEO静止轨道的卫星,距离我们35700多km,信号传输到卫星再返回,经过两倍的距离,数据包延迟高达250ms左右,传统网络的TCP/IP协议不能直接应用于卫星网络中,需要增大滑动窗口时间和TCP欺骗等技术才能用于卫星网络。SpaceX正在组建的卫星网络也是基于星上处理机制。

卫星面临的威胁

我们在研究中发现,通信卫星含有以下威胁:数据窃听、数据伪造、转发器资源窃取攻击。其中数据窃听攻击为被动攻击,主要攻击对象为卫星通信链路中未采取加密或加密算法弱的网络。研究中发现,由于卫星网络成本较高的原因,加密会增加终端设备的成本和链路的利用率下降,许多卫星通信网络并未对卫星通信数据进行加密。同时,卫星通信参数复杂,专业人才缺乏,导致卫星网络的网络参数非常简单。只要能打通链路便很不易,更别说链路优化、安全等其它因素。在这些种种因素下,卫星网络极易导致数据的泄露。针对此类攻击的实现方法,可以采取以下三种方案:

  • 第一:卫星数据接收卡

此卡类似于计算机网卡,以PCI/PCI-E等方式插入计算机使用。这类接收卡的结构为包含一个基于DVB-S/DVB-S2的解调芯片和一个网卡/ip数据打包芯片。卫星信号经过解调芯片解调译码后,将ip数据流提取出来发送给网卡芯片,网卡重新将ip流打包传送给计算机,计算机经过获取网卡数据流提取ip数据。在未知对方网络数据的情况下,可以使用skynet、skygrabber、dvbsnoop等软件直接根据数据包头提取图片、视频、压缩包等文件,使用较为简单,设置好卫星信号的通信参数即可使用。

  • 第二:卫星调制解调器

卫星调制解调器价格昂贵,但市场上已经开始流通一些退役的设备。黑客可以使用这些设备直接用来接收卫星的下行信号并输出ip数据包。此类方法简单可靠,需要设置正确通信参数。

  • 第三:SDR软件无线电

SDR软件无线电配合计算机做信号的解调工作,并通过脚本可以直接将数据打包成ip流输出到API接口,计算机软件可以提取数据。此方法实现较为复杂,需要对通信、计算机都有较强的技术水平,此方法应用不多。

当然,还有其它的攻击手法,例如我们遥控无人机携带SDR平台,飞到某卫星地面站天线与卫星之间,这样可以作为一个攻击设备来伪造卫星的下行信号,让地面站接收错误的信息。

除此之外,通信卫星的转发器的频率范围、本振频率较为固定,见下图:

我们可以根据卫星的下行信号,轻而易举计算出卫星的上行信号,再使用抛物面天线、BUC、LNB等卫星通信设备,完成对信号的伪造攻击,同时还可以实施信号干扰等攻击。

在2019年卫星应用大会上,我们获得了一个统计数据:全球通信卫星目前转发器出租比例仅为64%,这意味着全球通信卫星含有大量的转发器资源处于闲置中。攻击者可以采用信号源、频谱仪、SDR、卫星天线等通信设备,针对卫星转发器的闲置频率私自窃取卫星转发器资源(透明转发器),私自组网卫星网络,特别是使用扩频技术,让攻击更加隐蔽。

那么这些攻击无法追踪定位吗?当然是可以的,当卫星运营商检测到卫星链路受到攻击时,可以通过无线电监测中心协助来进行攻击源定位,如果是窃听攻击(被动攻击)和短时间内攻击,便很难追踪攻击者的位置。

设备的威胁

那么我们刚才提到过,由于卫星通信专业人才缺乏,所以一些调制解调器就带有远程控制功能,使得中心站可以远程控制分站的调制解调器参数。我们在研究和实验中发现,全球卫星调制解调器的领导品牌Comtech调制解调器的远程控制功能EDMAC、EDMAC2,并没有对控制设备进行物理地址认证和时间认证。这意味着攻击者可以使用录制的控制信号,或者在提前得知对方链路的通信参数情况下,再配合卫星透明转发机制,使用重放攻击便可以控制对方开启EDMAC的Comtech调制解调器,可以使正常通信的卫星链路切断。我们认为,此漏洞不仅仅存在于Comtech调制解调器中,猜测更多品牌的调制解调器的远程控制功能都没有做物理地址认证等安全措施。

去中心化的比特币卫星项目

美国一家名叫BlockStream的公司之前开发了一套名叫“闪电网络”的比特币侧链协议。比特币侧链网络可以跟主链网络互相交换数据,并减轻比特币主链网络的压力。同时,这家公司开拓性的在全球租用了5颗通信卫星,将比特币交易数据通过卫星发送到全球更多没有网络的地方,建立更多的比特币节点,减少对传统互联网的依赖。

今年3月份,我们在北京360大厦成功接收并解码出来自Telstar 18V的比特币交易信息,也是亚洲第一个成功接收到此比特币交易信息。

但在研究中发现,BlockStream的交易信息并没有对卫星传输的空口数据进行加密,这意味着攻击者可以根据Telstar 18V的卫星转发器参数,计算出上行信号,攻击者可以在Telstar 18V的覆盖范围通过更大功率(需要精确计算,否则会引起信号回退)向卫星发射伪造的比特币交易信号,导致节点接收到虚假伪造的比特币交易信息。而节点通常为那些没有互联网覆盖的区域,无法短时间内通过其它比特币节点验证交易信息的有效性,这将是一个非常大的弱点。

总结

卫星网络的威胁并非小事,卫星网络较多用于重要行业,带来的威胁更为严重,我们希望传统卫星网络的使用者、运营者做好卫星网络的安全工作。同时我们360 IoT安全研究院也将更加深入研究卫星网络的安全问题,为将来5G、IoT等应用保驾护航。

声明:本文来自360 IOT安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。