A situação deplorável com a segurança da Internet via satélite

Black Hat apresentou um relatório sobre problemas de segurança em sistemas de acesso para Internet via satélite. O autor do relatório demonstrou a capacidade de interceptar o tráfego da Internet transmitida através de canais de comunicação via satélite usando um receptor DVB de baixo custo.

Com isso ele demonstrou que não é difícil interceptar o tráfego enviado, mas que existe alguma dificuldade em interceptar o tráfego enviado pelo satélite saindo do cliente.

Em sua explicação ele menciona que o cliente pode se conectar ao provedor de satélite por meio de canais assimétricos ou balanceados:

• No caso de um canal assimétrico, o tráfego de saída do cliente é enviado através do provedor terrestre e recebido através do satélite.
• Em canais simétricos, o tráfego de entrada e saída passa pelo satélite.

Os pacotes endereçados ao cliente são enviados do satélite por meio de transmissão de broadcast, que inclui o tráfego de diferentes clientes, independentemente da sua localização.

Para a troca de dados entre o satélite e o provedor, geralmente é utilizada uma transmissão focada, que exige que o invasor esteja a várias dezenas de quilômetros da infraestrutura do provedor, e são utilizadas diferentes faixas de frequência e formatos de codificação, cujos A análise requer equipamentos caros do fornecedor.

Mas mesmo que o provedor use a banda Ku usual, como regra, as frequências para diferentes direções são diferentes, o que requer uma segunda antena parabólica para interceptar em ambas as direções e resolver o problema de tempo de transmissão.

Foi assumido que um equipamento especial é necessário para interceptar comunicações via satélite, custando dezenas de milhares de dólares, mas na verdade, disse ataque foi realizado usando um sintonizador DVB-S convencional para televisão por satélite (TBS 6983/6903) e uma antena parabólica.

O custo total da equipe de ataque foi de aproximadamente US $ 300. As informações publicamente disponíveis sobre a localização dos satélites foram usadas para direcionar a antena para os satélites, e um aplicativo típico para pesquisar canais de televisão por satélite foi usado para detectar canais de comunicação.

A antena foi direcionada ao satélite e o processo de varredura da banda Ku começou.

Os canais foram identificados identificando picos no espectro de RF, visíveis no contexto de ruído geral. Após identificar o pico, a placa DVB foi sintonizada para interpretar e gravar o sinal como uma transmissão de vídeo digital convencional para televisão por satélite.

Com a ajuda de interceptações de teste, foi determinada a natureza do tráfego e os dados da Internet foram separados da televisão digital (uma busca banal no aterro emitida pela placa DVB foi utilizada através da máscara «HTTP», se encontrada , considerou-se que foi encontrado um canal com dados da Internet).

A investigação de tráfego mostrou quee todos os provedores de internet via satélite analisados não use criptografia por padrão, permitindo que um invasor ouça o tráfego sem obstáculos.

A transição para o novo protocolo GSE (Generic Stream Encapsulation) para encapsular o tráfego da Internet e o uso de sistemas sofisticados de modulação como a modulação de amplitude 32-D e APSK (Phase Shift Keying) não complicou os ataques, mas o custo do equipamento interceptação agora reduzida de $ 50,000 para $ 300.

Uma desvantagem significativa quando os dados são transmitidos via canais de comunicação via satélite é um atraso muito grande na entrega do pacotes (~ 700 ms), que é dezenas de vezes maior do que os atrasos no envio de pacotes pelos canais de comunicação terrestre.

Os alvos mais fáceis para ataques a usuários de satélite são DNS, HTTP não criptografado e tráfego de e-mail, que normalmente são usados ​​por clientes não criptografados.

Para DNS, é fácil organizar o envio de respostas DNS falsas que vinculam o domínio ao servidor do invasor (um invasor pode gerar uma resposta falsa imediatamente após ouvir uma solicitação no tráfego, enquanto a solicitação real ainda deve passar por um provedor tráfego de satélite).

A análise do tráfego de e-mail permite a interceptação de informações confidenciaisPor exemplo, você pode iniciar o processo de recuperação de senha no site e espionar o tráfego enviado por e-mail com um código de confirmação da operação.

Durante o experimento, aproximadamente 4 TB de dados foram interceptados, transmitidos por 18 satélites. A configuração utilizada em determinadas situações não proporcionou interceptação confiável de conexões devido à baixa relação sinal-ruído e ao recebimento de pacotes incompletos, mas as informações coletadas foram suficientes para saber que os dados estavam comprometidos.

Alguns exemplos do que foi encontrado nos dados interceptados:

• As informações de navegação e outros dados aviônicos transmitidos à aeronave foram interceptados. Esta informação não só era transmitida sem encriptação, mas também no mesmo canal do tráfego geral da rede de bordo, através do qual os passageiros enviam correio e navegam em websites.
• Foi interceptada uma troca de informações sobre problemas técnicos em um navio-tanque egípcio. Além da informação de que a embarcação não poderia embarcar por cerca de um mês, foram recebidas informações sobre o nome e número do passaporte do engenheiro responsável pela resolução do problema.
• Um advogado espanhol enviou uma carta ao cliente com detalhes do próximo caso.