La situation déplorable avec la sécurité Internet par satellite

Black Hat a déposé un rapport sur les problèmes de sécurité en systèmes d'accès à Internet par satellite. L'auteur du rapport a démontré sa capacité à intercepter le trafic d'Internet transmis via les canaux de communication par satellite en utilisant un récepteur DVB à faible coût.

Ceci démontre qu'il n'est pas difficile d'intercepter le trafic émis, mais qu'il y a une certaine difficulté à intercepter le trafic envoyé par le satellite en partance du client.

Dans son explication, il mentionne que le client peut se connecter au fournisseur de satellite via des canaux asymétriques ou équilibrés:

• Dans le cas d'un canal asymétrique, le trafic sortant du client est envoyé via le fournisseur terrestre et reçu via le satellite.
• Dans les canaux symétriques, le trafic entrant et sortant passe par le satellite.

Les paquets adressés au client sont envoyés depuis le satellite via une transmission broadcast, qui inclut le trafic de différents clients, quel que soit leur emplacement.

Pour l'échange de données entre le satellite et le fournisseur, une transmission ciblée est généralement utilisée, ce qui nécessite que l'attaquant soit à plusieurs dizaines de kilomètres de l'infrastructure du fournisseur, et différentes gammes de fréquences et formats de codage sont utilisés, dont L'analyse nécessite un équipement coûteux du fournisseur.

Mais même si le fournisseur utilise la bande Ku habituelle, en règle générale, les fréquences pour différentes directions sont différentes, ce qui nécessite une deuxième antenne parabolique pour intercepter dans les deux sens et résoudre le problème de la synchronisation de la transmission.

On a supposé qu'un équipement spécial était nécessaire pour intercepter les communications par satellite, coûtant des dizaines de milliers de dollars, mais en fait, a déclaré l'attaque a été effectuée à l'aide d'un tuner DVB-S conventionnel pour la télévision par satellite (TBS 6983/6903) et une antenne parabolique.

Le coût total de l'équipe d'intervention était d'environ 300 USD. Des informations accessibles au public sur l'emplacement des satellites ont été utilisées pour diriger l'antenne vers les satellites, et une application typique de recherche de chaînes de télévision par satellite a été utilisée pour détecter les canaux de communication.

L'antenne a été dirigée vers le satellite et le processus de balayage en bande Ku a commencé.

Les canaux ont été identifiés en identifiant des pics dans le spectre RF, visibles dans le contexte du bruit général. Après avoir identifié le pic, la carte DVB a été réglée pour interpréter et enregistrer le signal comme une émission vidéo numérique conventionnelle pour la télévision par satellite.

À l'aide de tests d'interception, la nature du trafic a été déterminée et les données d'Internet ont été séparées de la télévision numérique (une fouille banale dans la décharge émise par la carte DVB a été utilisée en utilisant le masque «HTTP», si trouvé , il a été considéré qu'un canal avec des données Internet a été trouvé).

L'enquête sur la circulation a montré quee tous les fournisseurs d'accès Internet par satellite analysés n'utilisez pas le cryptage par défaut, permettant à un attaquant d'entendre le trafic sans entrave.

Le passage au nouveau protocole GSE (Generic Stream Encapsulation) pour encapsuler le trafic Internet et l'utilisation de systèmes de modulation sophistiqués tels que la modulation d'amplitude 32-D et l'APSK (Phase Shift Keying) n'ont pas compliqué les attaques, mais le coût de l'équipement l'interception est maintenant ramenée de 50,000 300 $ à XNUMX $.

Un inconvénient majeur lorsque les données sont transmises via les canaux de communication par satellite c'est un très gros retard dans la livraison du coliss (~ 700 ms), ce qui est des dizaines de fois supérieur aux délais d'envoi des paquets via les canaux de communication terrestres.

Les cibles les plus faciles pour les attaques contre les utilisateurs de satellites sont le DNS, le HTTP non chiffré et le trafic de messagerie, qui sont généralement utilisés par les clients non chiffrés.

Pour le DNS, il est facile d'organiser l'envoi de fausses réponses DNS qui relient le domaine au serveur de l'attaquant (un attaquant peut générer une fausse réponse immédiatement après avoir écouté une requête dans le trafic, alors que la requête réelle doit encore passer par un fournisseur trafic satellite).

L'analyse du trafic des e-mails permet l'interception d'informations confidentiellesPar exemple, vous pouvez lancer le processus de récupération du mot de passe sur le site et espionner le trafic envoyé par email avec un code de confirmation de l'opération.

Au cours de l'expérience, environ 4 To de données ont été interceptées, transmises par 18 satellites. La configuration utilisée dans certaines situations ne permettait pas une interception fiable des connexions en raison d'un faible rapport signal / bruit et de la réception de paquets incomplets, mais les informations recueillies étaient suffisantes pour savoir que les données étaient compromises.

Quelques exemples de ce qui a été trouvé dans les données interceptées:

• Les informations de navigation et autres données avioniques transmises à l'avion ont été interceptées. Ces informations ont non seulement été transmises sans cryptage, mais également sur le même canal que le trafic général du réseau à bord, par lequel les passagers envoient du courrier et parcourent des sites Web.
• Un échange d'informations sur des problèmes techniques sur un pétrolier égyptien a été intercepté. Outre les informations selon lesquelles le navire ne pourrait pas prendre la mer pendant environ un mois, des informations ont été reçues sur le nom et le numéro de passeport de l'ingénieur chargé de résoudre le problème.
• Un avocat espagnol a envoyé une lettre au client avec des détails sur l'affaire à venir.