Współczesne, sztuczne satelity Ziemi można postrzegać jako wyspecjalizowane komputery, przetwarzające informacje i komunikujące się ze stacjami naziemnymi lub innymi satelitami. Z tego punktu widzenia, rysuje się ich podobieństwo do serwerów, będących częstym celem cyberataków. Z uwagi na duży koszt budowy i umieszczenia na orbicie satelitów, oraz ich nierzadko strategiczne przeznaczenie, również one mogą stać się celem hakerów. Motywacje do podejmowania prób takich ataków mogą być różne, wliczając chęć przejęcia satelity w celu otrzymania okupu, czy też działania dywersyjne. Sytuacje takie nie są jedynie hipotetyczne, lecz zostały już odnotowane w przeszłości. Publicznie dostępna lista cyber-incydentów z udziałem satelitów jest już całkiem spora a przypuszczalna faktyczna skala tego procederu jest znacznie szersza [1, 2]. Biorąc pod uwagę obecny dynamiczny rozwój technologii satelitarnych, w szczególności, związany z budową konstelacji satelitarnych dostarczających internet, spodziewać się można narastania tego problemu. Dlatego też, warto temu zagadnieniu poświęcić należytą uwagę. Niniejszy tekst ma na celu zarysowanie zagadnienia cyberbezpieczeństwa rozwiązań satelitarnych i sprowokowanie Czytelnika do dalszych, pogłębionych, studiów w tym obszarze.

Mogłoby się wydawać, że uzyskanie nieautoryzowanego dostępu do systemu operacyjnego satelity, krążącego na wysokości kilkuset kilometrów nad powierzchnią Ziemi, jest zadaniem praktycznie niewykonalnym. Przekonanie takie ma swoje uzasadnienie w tym, iż informacje związane zarówno z systemami samych satelitów, jak i ze sposobami ich komunikacji, zazwyczaj pozostają niedostępne. Jest to klasyczny przykład tzw. security by obscurity (bezpieczeństwa przez niejawność). To, z jednej strony, ma na celu zniechęcenie do podejmowania jakichkolwiek prób ataków. Z drugiej jednak strony, podejście takie może uśpić czujność osób stojących na straży bezpieczeństwa systemów satelitarnych. Biorąc zaś pod uwagę dynamikę wzrostu ilości umieszczanych na orbicie okołoziemskiej satelitów, możliwości wystąpienia błędów i luk w systemach zabezpieczeń nie można wykluczyć. Chętnych do lokalizacji tych podatności  i ich późniejszego wykorzystania może być wielu. 

Jednym ze sposobów wykrywania słabości zabezpieczeń jest przekonanie tak zwanych “etycznych hakerów” do tego by zechcieli ich poszukać – inaczej mówiąc, włamać się do danego satelity. Działania takie mogą przyjąć formę otwartego konkursu z motywacją (oprócz satysfakcji) w postaci pokaźnej nagrody pieniężnej. W maju ubiegłego roku konkurs taki, pod nazwą Space Security Challenge 2020: HACK-A-SAT, został zorganizowany przez Siły Powietrzne Stanów Zjednoczonych (United States Air force – USAF), wraz z Służbą Obrony Cyfrowej (Defense Digital Service – DDS). Celem rywalizacji było m.in. przywrócenie kontroli nad satelitą, na który przeprowadzono symulowany cyberatak. W konkursie wykorzystano eksperymentalne konstrukcje satelitarne, znajdujące się na Ziemi. Jednakże, najepszym drużynom, udostępniony został również w pełni profesjonalny satelita orbitujący Ziemię. Do konkursu przystąpiło ponad tysiąc drużyn z całego świata. Tym bardziej, godne uznania jest zajęcie drugiego miejsca w tym konkursie przez drużynę “Poland Can Into Space” z Polski.

Należy podkreślić, że przeprowadzenie ataków na systemy satelitarne nie musi wiązać się z użyciem kosztownego sprzętu, co zaś znacząco rozszerza grono potencjalnych atakujących. W szczególności, hakerzy nie muszą być wyposażeni w zaawansowane urządzenia telekomunikacyjne. Celem ataków mogą być bowiem nie koniecznie bezpośrednio same satelity, lecz autoryzowane stacje naziemne, za pośrednictwem których są one kontrolowane. Obejście zabezpieczeń takich stacji może pozwolić na nawiązanie pożądanego połączenia z komputerem satelity i wpłynięcie na jego funkcjonowanie.

W ten sposób, atakujący mogą osiągnąć jeden z wielu możliwych celów, takich jaki np.: 

• Zainfekowanie komputera satelity złośliwym oprogramowaniem, co może mieć na celu zaburzenie jego pracy. Na przykład, powodując zafałszowanie informacji i wprowadzanie operatora satelity w błąd (również, w sposób trudny do wykrycia). 
• Zebranie wrażliwych lub cennych informacji. Na przykład, pozyskiwanie danych obrazowych lub sygnałowych. 
• Szantaż, czy też atak typu ransomware, mający na celu otrzymanie okupu za przywrócenie satelity do działania. Jest to szczególnie kusząca możliwość, z uwagi na typowo ogromne koszty rozwiązań satelitarnych. 

Ataki na systemy satelitarne, wykorzystujące podatności stacji naziemnych, są jednak zasadniczo trudne do przeprowadzenia. Wynika to z zastosowania silnych zabezpieczeń w tego typu obiektach. W takiej sytuacji, łatwiejszym celem może okazać się próba ataku bezpośredniego. Uzasadnione jest to tym, że szyfrowanie kanału komunikacji pomiędzy satelitą a stacją naziemną może być stosunkowo słabe. Związane to jest z ograniczeniami na przepustowość wykorzystywanych łączy radiowych oraz kosztem energetycznym transmisji, co zaś wyklucza stosowanie silnych algorytmów szyfrujących. Przykładem tego jest chociażby wykazana możliwość kryptoanalizy algorytmów GMR-1 i GMR-2, stosowanych w telefonii satelitarnej [3]. Ponadto, ograniczenia na rozwiązania kryptograficzne są narzucane przez rozmiary pakietów danych wymienianych radiowo w trakcie przelotu satelity nad stacją naziemną (co nie dotyczy satelitów geostacjonarnych). Te więzy czasowe, wymuszają stosowanie kompromisowych rozwiązań, biorąc z jednej strony ilość przesyłanych danych użytkowych a z drugiej bezpieczeństwo tych danych.  

Wykorzystanie podatności otwierających się poprzez bezpośrednie nawiązanie łączności z satelitą urealnione jest przez dostępność i stosunkowo niski koszt niezbędnego sprzętu. W wielu przypadkach, wystarczy do tego celu antena paraboliczna o średnicy około dwóch metrów i układ nadawczo-odbiorczy, zamykające się w kwocie kilkunastu tysięcy złotych. Już takie wyposażenie może pozwolić na podszycie się pod autoryzowaną stację nadawczą (tzw. spoofing) i nawiązanie komunikacji z satelitą. A stąd już krok do zainfekowania systemu operacyjnego satelity, lub przejęcia nad nim kontroli.  

Przedmiotem zainteresowania hakerów mogą być także same dane przesyłane z satelitów. Odbieranie takich danych nie wymaga zaś nawiązania dwukierunkowej komunikacji z satelitą. Wystarczyć więc może nawet zwykły tuner i antena satelitarna. Większość z przesyłanych na ziemię danych jest jednak zaszyfrowana. Dotyczy to również telewizji satelitarnej. Z kosmosu trafia do nas jednak cała masa, innych, dużo bardziej wrażliwych danych, takich jak np. rozmowy prowadzone za pomocą telefonów satelitarnych, czy też dane przemysłowe. Za sprawą powstającego globalnego internetu satelitarnego, danych tych będzie znacząco przybywać. To też rodzi obawy, że będą one mogły zostać przechwycone i bezprawnie wykorzystywane (jeśli nie zostaną wystarczająco silnie zabezpieczone).  Przykładu takiej możliwości dostarcza wykazana niedawno podatność, zainstalowanych na statkach, satelitarnych systemów VSAT (Very Small Aperture Terminals) [4].

Na styku cyberataków i ataków fizycznych znajdują się również ataki typu DoS (Denial-of-Service), polegające na zablokowaniu danej usługi, na przykład poprzez zawieszenie witryny internetowej. Stosowaną często wersją takiego ataku jest DDoS (Distributed Denial-of-Service), w którym wykorzystuje się masowo zainfekowane komputery do połączenia z danym serwerem w celu jego przeciążenia i w konsekwencji zawieszenia. 

Za satelitarny odpowiednik ataku DoS możemy uznać zakłócenie pracy satelity (tzw. jamming). Zakłócany może być zarówno tzw. downlink (komunikacja z satelity na ziemię) oraz tzw. uplink (komunikacja z ziemi do satelity). Zakłócenie radioelektroniczne można przeprowadzić za pomocą naziemnej stacji radiowej, lub też dedykowanego do tego celu satelity. O ile ta druga możliwość dana jest nielicznym, to już ataki typu DoS z powierzchni Ziemi można realizować w oparciu o stosunkowo nieduże zasoby sprzętowe.  

Jednymi z najpowszechniejszych przypadków ataków na satelitarną usługę w transmisji downlink są zakłócenia pracy systemów nawigacji satelitarnej (GNSS), takich jak GPS czy Galileo, oraz telewizji satelitarnej.  Zakłócenia systemów GNSS mogą uniemożliwić z korzystania z nawigacji satelitarnej w danym obszarze jego stosowania. Ataki tego mają miejsce dosyć często, o czym świadczą udokumentowane przypadki [2]. Licznych przykładów takich działań dostarcza raport “Above Us Only Stars – Exposing GPS Spoofing in Russia and Syria,” (pdf) przygotowany przez ośrodek C4ADS. Raport przytacza również przykładów spoofingu GPS (czyli podszywania się pod system GPS), co może być działaniem jeszcze bardziej niebezpiecznym, gdyż nieświadomy użytkownik może zostać wprowadzony w błąd a jego pojazd (samochód, statek, samolot) może być skierowany np. na kurs kolizyjny z przeszkodą. Sposobem radzenia sobie z takimi sytuacjami jest m.in. kryptograficzne uwierzytelnienie źródeł sygnału.

Warto dodać, że z uwagi na dominujące znaczenie transmisji internetowej, zakłócenie telewizji satelitarnej traci obecnie na znaczeniu. Działania takie miały jednak miejsce w przeszłości. Udokumentowanym incydentem tego typu było np. zakłócenie kurdyjskiego kanału satelitarnego MED-TV w 1995 roku [2].   

Podsumowując, cyberataki na systemy satelitarne są realnym zagrożeniem, a ich znaczenie będzie wzrastało, wraz z rozwojem internetu satelitarnego (dostarczanego z niskiej orbity okołoziemskiej) oraz innych usług satelitarnych. Na szczególną uwagę i monitorowanie od strony cyberbezpieczeństwa zasługuje tu konstelacja Starlink, budowana obecnie przez firmę SpaceX. 

Jednym z obiecujących kierunków, który może zmniejszyć ryzyko bezpośrednich ataków na satelity, jest zastąpienie komunikacji radiowej, łącznością laserową. Łączność laserowa wdrażana jest już m.in. w komunikacji międzysatelitarnej w konstelacji Starlink (ale nie w komunikacji ze stacjami naziemnymi). Wykorzystanie satelitarnych łączy optycznych jest obecnie bardzo ważnym kierunkiem rozwoju. Wynika to zarówno, z dużo większych przepustowości, jak i mniejszych strat energetycznych, w przypadku łączy laserowych. Zaletą, w stosunku do komunikacji radiowej, jest także dużo mniejsza podatność na przechwycenie komunikacji, wynikająca z małego kąta rozbieżności wiązki laserowej. Własność ta stanowi zasadniczą trudność przy próbach cyberataków na systemy satelitarne. Równocześnie, wysokie przepustowości łączy optycznych pozwalają na stosowanie silnych algorytmów kryptograficznych, w tym algorytmów kryptografii postkwantowej. Łącza optyczne nie są jednak wolne od słabości. Największym ich wrogiem są czynniki atmosferyczne, takie jak chmury, które są zdolne do tego by skutecznie przeprowadzić atak DoS.

Bibliografia

1. D. Housen-Couriel, Cybersecurity threats to satellite communications: Towards a typology of state actor responses, Acta Astronautica 128,  409-415 (2016). 
2. A. Ali.Zare Hudaib,  Satellite Network Hacking & Security Analysis, International Journal of Computer Science and Security (IJCSS) 10, Issue (1),  8-55 (2016).
3. B. Driessen, R. Hund, C. Willems, C. Paar, & T. Holz, Don’t Trust Satellite Phones: A Security Analysis of Two Satphone Standards, IEEE Symposium on Security and Privacy, 128-142 (2012).
4.  J. Pavur, I. Martinovic, M. Strohmeier, V. Lenders, & D. Moser, A tale of sea and sky: On the security of maritime VSAT communications, IEEE, 1006–1022 (2020).

© Jakub Mielczarek

Artykuł został opublikowany na portalu Polish Brief.