На прошедшей конференции Black Hat был представлен доклад, посвящённый проблемам с безопасностью в системах спутникового доступа к интернету. Автор доклада, используя недорогой DVB-приёмник, продемонстрировал возможность перехвата интернет-трафика, передаваемого через спутниковые каналы связи.

Клиент может подключаться к провайдеру спутниковой связи через асимметричные или симметричные каналы. В случае асимметричного канала исходящий трафик от клиента отправляется через наземного провайдера, а принимается через спутник. В симметричных каналах исходящий и входящий трафик проходит через спутник. Адресованные клиенту пакеты отправляются со спутника с использованием широковещательной передачи, включающей трафик разных клиентов, независимо от их территориального размещения. Подобный трафик перехватить не составило труда, но перехватить отправляемый через спутник исходящий от клиента трафик оказалось не так просто.

Для обмена данными между спутником и провайдером обычно используется сфокусированная передача, требующая чтобы атакующий находился в нескольких десятках километров от инфраструктуры провайдера, а также применяются иной частотный диапазон и форматы кодирования, анализ которых требует наличия дорогого провайдерского оборудования. Но даже если провайдер использует обычный Ku-диапазон, как правило частоты для разных направлений отличаются, что требует для перехвата в обоих направлениях применения второй спутниковой тарелки и решения задачи синхронизации потоков.

Предполагалось, что для организации перехвата спутниковых коммуникаций необходимо спецоборудование, которое стоит десятки тысяч долларов, но на деле подобную атаку удалось реализовать при помощи обычного DVB-S тюнера для спутникового телевидения (TBS 6983/6903) и параболической антенны. Общая стоимость набора для атаки составила приблизительно 300 долларов. Для направления антенны на спутники использовалась общедоступная информация о расположении спутников, а для обнаружения каналов связи применялось типовое приложение, предназначенное для поиска спутниковых телеканалов. Антенна направлялась на спутник и запускался процесс сканирования Ku-диапазона.

Каналы идентифицировались через определение пиков в радиочастотном спектре, заметных на фоне общего шума. После выявления пика DVB-карта настраивалась на интерпретацию и запись сигнала как обычной цифровой видеотрансляции для спутникового телевидения. При помощи пробных перехватов определялся характер трафика и отделялись интернет-данные от цифрового телевидения (применялся банальный поиск в выданном DVB-картой дампе по маске "HTTP", в случае нахождения которой считалось, что найден канал с интернет-данными).

Исследование трафика показало, что все проанализированные провайдеры спутникового интернета не применяют по умолчанию шифрование, что позволяет беспрепятственно прослушивать трафик. Примечательно, что предупреждения о проблемах с безопасностью спутникового интернета публиковались ещё 15 лет назад, но с тех пор ситуация не изменилась, несмотря на внедрение новых методов передачи данных. Переход на новый протокол GSE (Generic Stream Encapsulation) для инкапсуляции интернет-трафика и применение сложных систем модуляции, таких как 32-мерная амплитудная модуляция и APSK (Phase Shift Keying), не усложнили проведение атак, но стоимость оборудования для перехвата теперь снизилась с $50000 до $300.

Значительным недостатком при передаче данных через спутниковые каналы связи является очень большая задержка доставки пакетов (~700 ms), которая в десятки раз превышает задержки при отправке пакетов по наземным каналам связи. Данная особенность имеет два существенных негативных влияния на безопасность: нераспространённость VPN и незащищённость против спуфинга (подмены пакетов). Отмечается, что применение VPN замедляет передачу примерно на 90%, что с учётом самих по себе больших задержек делает VPN практически неприменимым со спутниковыми каналами.

Незащищённость от спуфинга объясняется тем, что атакующий может полностью прослушивать приходящий к жертве трафик, что позволяет определять идентифицирующие соединения номера последовательностей в TCP-пакетах. При отправке поддельного пакета через наземный канал он практически гарантировано придёт раньше реального пакета, передаваемого по спутниковому каналу с большими задержками и дополнительно проходящего через транзитного провайдера.

Наиболее лёгкой целью для атак на пользователей спутниковых сетей является DNS-трафик, незашифрованный HTTP и электронная почта, которые, как правило, используются клиентами без шифрования. Для DNS легко организовать отправку фиктивных DNS-ответов, привязывающих домен к серверу атакующего (атакующий может сгенерировать фиктивный ответ сразу после того как подслушал в трафике запрос, в то время как реальный запрос ещё должен пройти через провайдера, обслуживающего спутниковый трафик). Анализ почтового трафика позволяет перехватывать конфиденциальную информацию, например, можно инициировать процесс восстановления пароля на сайте и подсмотреть в трафике отправленное по email сообщение с кодом подтверждения операции.

В ходе эксперимента было перехвачено около 4 ТБ данных, передаваемых 18 спутниками. Использованная конфигурация в определённых ситуациях не обеспечивала надёжного перехвата соединений из-за низкого соотношения сигнал-шум и получения неполных пакетов, но собираемой информации оказалось достаточно для компрометации. Некоторые примеры того, что удалось найти в перехваченных данных:

• Перехвачена передаваемая на самолёты навигационная информация и другие данные авионики. Данные сведения не только передавались без шифрования, но и в одном канале с трафиком общей бортовой сети, через которую пассажиры отправляют почту и просматривают сайты.
• Перехвачена сессионная Cookie администратора ветрогенератора на юге Франции, подключившегося к системе управления без шифрования.
• Перехвачен обмен информацией о технических проблемах на египетском нефтяном танкере. Кроме сведений о том, что судно не сможет около месяца выйти в море, были получена данные об имени и номере паспорта инженера, ответственного за устранение неполадки.
• Круизный лайнер передавал конфиденциальную информацию о своей локальной сети на базе Windows, включая данные о подключении, хранимые в LDAP.
• Испанский юрист отправил клиенту письмо с деталями о предстоящем деле.
• В ходе перехвата трафика к яхте греческого миллиардера был перехвачен отправленный по email пароль восстановления учётной записи в сервисах Microsoft.