Anche i satelliti sognano antimalware spaziali

Chi come me lavora da anni nel campo della sicurezza informatica sa bene che, nel tempo, i campi di studio si sono allargati a dismisura arricchendosi continuamente di nuovi settori di indagine e intervento dovuti all’evoluzione delle tecnologie e dei modi di trasmettere le informazioni. Alcuni avvenimenti che risalgono a questa estate hanno portato alla ribalta un campo fortemente strategico che noi comuni mortali spesso abbiamo imparato a dare per scontato: le comunicazioni satellitari. Ci sono diversi modi per utilizzarle e manipolarle: fare jamming e spoofing GPS, intercettare il traffico da e verso il satellite, dirottare il traffico e attaccare i sistemi collegati.

Jamming

Il Jamming viene usato perlopiù per creare disservizi (DoS), interrompere le comunicazioni satellitari o creare interferenze. Si basa sulla trasmissione di segnali disturbanti sia vicino alle stazioni riceventi, che non riescono più a decodificare correttamente il segnale del satellite, sia direttamente sul satellite, impedendogli di ricevere il segnale della sorgente legittima. L’attrezzatura necessaria è abbastanza semplice e non esageratamente costosa e questo tipo di attacco è difficile da rilevare, perché la sorgente attaccante può spaziare fra infiniti tipi di segnale disturbante ed essere geograficamente distribuita in diversi punti del globo. Sono compiuti soprattutto verso apparati militari, per offuscare le comunicazioni delle forze nemiche, con impatti importanti in zone di guerra.

Spoofing GPS

Un sottogruppo del jamming è lo spoofing GPS. Il GPS è un sistema molto utilizzato in tutti i campi, non solo per quanto riguarda la triangolazione della posizione, ma anche per ottenere una misurazione del tempo che sia comune e uguale per tutti i dispositivi che fanno uso del servizio. Essendo un sistema concepito per essere universale e gratuito per tutti e per sempre, il segnale viaggia in chiaro e non criptato per gli usi civili.

Lo spoofing GPS si realizza per mezzo di un sistema di trasmissione GPS a terra che emette un segnale più forte di quello satellitare: i dispositivi di ricezione prendono per buono il segnale, che può trasmettere posizioni e orari fasulli. L’impatto della manipolazione di questi dati può essere molto grave a seconda dell’utilizzo: il 5 agosto 2016 per esempio il volo di linea Cathay Pacific Flight 905 da Hong Kong verso Manila comunicò alla torre di controllo di aver perso il segnale GPS. Dalla torre gli fu detto di atterrare “a vista”, e meno male che era una bella giornata soleggiata. Quel mese ci furono altre 50 segnalazioni di perdita GPS sull’aeroporto di Manila. Per un aeroplano è importante non solo la posizione ma anche il tempismo: deve essere infatti perfettamente sincronizzato con gli orologi di tutti gli altri aeromobili. Nel caso di un aeroporto più grande e affollato, come quello di New York, il problema avrebbe potuto essere ben più grave!

Per costruire un GPS jammer in grado di sovrastare il segnale satellitare è sufficiente un piccolo apparato, facilmente reperibile al costo di circa 200 dollari. L’inganno è possibile perché il segnale che arriva dal satellite non è criptato, ed è debole quando rimbalza sulla terra. I sistemi riceventi prendono qualunque segnale arrivi con le caratteristiche opportune, senza nessun controllo, e si “agganciano” all’emettitore che arriva più forte. In alcuni casi prendono per buono quello e basta, credendo di trovarsi in altro posto e altro tempo, in altri casi il segnale va in conflitto con segnali ricevuti da altri satelliti (legittimi), come nel caso del volo 509, e il sistema si blocca, non sapendo a chi dare ragione.

Anche nel mondo della ricerca ci troviamo quotidianamente a dover gestire moltissimi macchinari e strumenti che dipendono fortemente dal sistema GPS e questa minaccia così facile da realizzare potrebbe mettere a rischio i nostri esperimenti o i nostri apparati.

Purtroppo, oggi non c’è modo per difendersi dal GPS spoofing. L’unico veramente efficace sarebbe criptare il traffico ma non è realizzabile, perché comporterebbe l’aggiornamento di tutti i satelliti esistenti. Alcune implementazioni sono allo studio, ma ancora molto indietro anche perché, per l’elevatissimo numero di dispositivi comunicanti con un singolo satellite, la potenza di calcolo necessaria è di molto superiore a quella degli attuali satelliti.

Un sistema più efficace e meno dispendioso sarebbe dotare gli strumenti riceventi di una quadrupla antenna GPS, con antenne disposte in una griglia 2x2 e tecnologia beamforming: dalla differenza di segnale che riceve ogni singola antenna, con questa configurazione si riuscirebbe a capire la direzione da cui vengono i segnali ed escludere immediatamente quelli falsi, per esempio provenienti da terra. Purtroppo però questi sistemi hanno bisogno di essere sia molto precisi che molto grandi per compiere il loro lavoro: anche se si sta tentando di renderli più piccoli, bisognerà vedere quale casa costruttrice vorrà utilizzarli nei propri dispositivi.

Un’altra possibile mitigazione di questo rischio potrebbe essere la creazione di “firewall GPS”: si tratta di un apparato che si frappone fra l’emittente e il ricevente e che tiene sotto controllo in tempo reale ogni possibile segnale GPS, si rende conto di eventuali anomalie ed estromette immediatamente il segnale ritenuto falso, senza farlo arrivare al ricevente. Forse questo potrebbe essere la soluzione “tascabile” per i nostri dispositivi.

Una volta sul mercato, sia l’antenna quadrupla che il firewall GPS saranno applicabili a dispositivi molto preziosi, rilevanti per la sicurezza di vite umane o beni e servizi essenziali, ma si può presumere saranno molto costosi e quindi difficilmente applicabili a dispositivi comuni come sonde, satelliti metereologici, palloni aerostatici, sistemi traccianti per animali, e insomma molte delle cose usate nel settore della ricerca.

Intercettazione del segnale radio

Oltre al servizio GPS i satelliti svolgono numerose funzioni, e per essere controllati e mantenuti devono poter essere comandati da terra, in comunicazioni bilaterali. Una via di compromissione è quindi intercettare le comunicazioni sul canale radio stabilito fra base e satellite. Nel 2012 fu dimostrato che si poteva intercettare e decifrare le comunicazioni di smartphone satellitari GSM-1 e GSM-2 attraverso una semplice antenna, una comune radio, e un programma SDR di cattura e codifica dei segnali. Purtroppo, come abbiamo accennato sopra, per motivi di potenza di calcolo non è possibile implementare sistemi di cifratura più robusti: all’epoca era stato infatti calcolato che ciò avrebbe abbassato dell’80% le prestazioni del satellite.

Un altro attacco di questo tipo fu eseguito da hacker in Iraq e Afghanistan con il programma SkyGrabber, che serve per vedere la TV satellitare russa e ha un costo davvero modico: 26 dollari. Usando questo software e una radio, gli hacker riuscirono ad intercettare le comunicazioni satellitari dei Predator (aerei senza pilota) sui territori di guerra. Non riuscirono a disattivare gli aerei, ma trafugarono i video da essi trasmessi, poi usati per conoscere le posizioni delle aree militari e le rotte dei droni di ricognizione.

Una dimostrazione molto chiara dell’impatto che un incidente del genere potrebbe avere, è stato dato a DEFCON 2020, dove con una normale attrezzatura per vedere la TV satellitare da 300 dollari sono state registrate comunicazioni sia via aria, che mare, che terra.

Dirottamento del traffico e controllo

I casi riportati si riferiscono a sistemi specifici, ma l’intercettazione può riguardare tutti i sistemi che parlano con i satelliti: basta una radio, un’antenna, un software SDR e tante prove. Ma una volta che siamo riusciti ad ascoltare il traffico, non è poi così difficile dirottarlo verso sistemi malevoli, o iniettare falsi comandi sul satellite. Per esempio, nel 1998 il satellite tedesco a raggi X ROSAT fu violato attraverso la compromissione dei computer della base di comando. Gli attaccanti presero il controllo del satellite e fecero aprire al massimo i suoi pannelli solari nella direzione del sole, causando un “grilling”, cioè un sovraccarico di energia che distrusse le batterie al satellite, mandandolo fuori uso. ROSAT è caduto sulla terra nel 2011.

Un altro tipo di compromissione satellitare è lo sfruttamento di satelliti che hanno esaurito la loro missione. Le buone pratiche prevedono che siano spinti fuori dall’orbita terrestre, in modo che si autodistruggano nello spazio ma, prima ciò avvenga i satelliti spenti restano “parcheggiati” per un po’. I ricercator Karl Koscher & Andrew Green hanno presentato un esempio di questo sfruttamento al DEFCON 2022 su un satellite geostazionario. Anche in questo caso è stato utilizzato un apparato DVB, usato per trasmettere una TV Hacker in broadcast sfruttando uno slot inutilizzato nel modulo di hub transponder. In pratica, come le radio pirata degli anni ’70, hanno creato il loro canale televisivo, ma trasmettendo da un satellite geostazionario, potevano andare in onda in metà pianeta, da cui il titolo dell’intervento “hack the hemisphere”!

Ultimo, ma non ultimo, perché ci riguarda molto più da vicino, sia come cittadini utilizzatori professionali, è stato l’hacking del sistema StarLink, il sistema di connessione internet via satellite, presentato ad agosto al Black Hat USA. In questo caso il ricercatore ha comprato il materiale necessario per connettersi a StarLink, la parabola che contiene sul retro il circuito per connettersi alla rete dei satelliti senza utilizzo di software o computer, e si è messo a studiare come funzionasse. Dopo vari tentativi ha costruito un circuito con un chip arduino e altri componenti, dal costo di circa 25 dollari, da saldare al circuito della parabola: questo circuito riscrive al volo la sequenza di boot del firmware, in modo da fornire una shell di root dell’apparato. In questo caso quindi, non si tratta di un vero e proprio attacco al satellite, ma di un reverse engineering dell’hardware utilizzato per la connessione. Il ricercatore non è andato oltre, e ha avvisato il CERT di Starlink, che ha mitigato la minaccia, implementando anche un sistema organizzato di BugBounty. Quello che però rimane irrisolto è che una volta che si ha accesso al prompt di root di una parabola, si è con molta probabilità in rete locale col router sul satellite e, a seconda di come sono implementati i protocolli interni di comunicazione, in LAN con tutte le altre parabole connesse degli altri utenti che usano il servizio. Non sappiamo ancora come siano fatti questi protocolli, ma potrebbe risultare abbastanza semplice effettuare scansioni e provare a compromettere i sistemi limitrofi. Non solo: Starlink ha rilevato che il bug era impossibile da sanare sul momento, senza dover modificare pesantemente il progetto e sostituire tutte le parabole già vendute, ha solo effettuato un upgrade del firmware per rendere più difficile ottenere il prompt, ma è ancora possibile farlo. Si aprono quindi scenari di studio e di indagine del tutto nuovi.

Scenari che certamente la nostra comunità di università e ricerca non si lascia sfuggire: fra i progetti finanziati da GÉANT nell’ambito dell’iniziativa GÉANT Innovation Programme per il 2022, ce n’è uno, condotto dall’Università del Sussex, che si occupa proprio di esplorare la possibilità e la capacità di sfruttare satelliti ad orbita bassa (Low Earth Orbit Satellite - LEOS) e reti 5G per costruire reti e protocolli che riescano a percorrere diversi mezzi e cammini, con una latenza molto ridotta per permettere il corretto funzionamento delle moderne applicazioni anche quando non si usi solo la fibra. L’invio dei nostri dati attraverso questi protocolli richiede di tener conto delle problematiche di sicurezza accennate sopra, viste le vulnerabilità strutturali delle comunicazioni via radio rispetto a quelle via cavo.

Conclusioni

Le minacce possono essere di tanti tipi, a seconda del tipo di satellite che usiamo e dell’uso che ne facciamo. La maggior parte delle volte non esistono cure, o patch o difese. Esistono però le best practice e, come sempre, l’analisi del rischio, soprattutto in relazione all’impatto.