La deplorable situación con la seguridad de Internet por satélite
Black Hat presentó un informe sobre problemas de seguridad en los sistemas de acceso a Internet por satélite. El autor del informe demostró la capacidad de interceptar el tráfico de Internet transmitido a través de canales de comunicación por satélite utilizando un receptor DVB de bajo costo.
Con ello demostró que no es difícil interceptar el tráfico enviado, pero que existe cierta dificultad al interceptar el tráfico enviado a través del satélite que sale del cliente.
En su explicación menciona que el cliente puede conectarse al proveedor de satélite a través de canales asimétricos o balanceados:
- En el caso de un canal asimétrico, el tráfico saliente del cliente se envía a través del proveedor terrestre y se recibe a través del satélite.
- En canales simétricos, el tráfico entrante y saliente pasa a través del satélite.
Los paquetes dirigidos al cliente se envían desde el satélite mediante transmisión de difusión, que incluye el tráfico de diferentes clientes, independientemente de su ubicación.
Para el intercambio de datos entre el satélite y el proveedor, se suele utilizar una transmisión focalizada, que requiere que el atacante se encuentre a varias decenas de kilómetros de la infraestructura del proveedor, y se utilizan diferentes rangos de frecuencia y formatos de codificación, cuyo análisis requiere un costoso equipo del proveedor.
Pero incluso si el proveedor usa la banda Ku habitual, como regla, las frecuencias para diferentes direcciones son diferentes, lo que requiere una segunda antena parabólica para interceptar en ambas direcciones y resolver el problema de la sincronización de la transmisión.
Se asumió que se necesita un equipo especial para interceptar las comunicaciones por satélite, lo que cuesta decenas de miles de dólares, pero de hecho, dicho ataque se llevó a cabo utilizando un sintonizador DVB-S convencional para televisión por satélite (TBS 6983/6903) y una antena parabólica.
El costo total del equipo de ataque fue de aproximadamente $ 300. Para dirigir la antena a los satélites se utilizó información disponible públicamente sobre la ubicación de los satélites y para detectar canales de comunicación se utilizó una aplicación típica para buscar canales de televisión por satélite.
La antena se dirigió al satélite y se inició el proceso de exploración en banda Ku.
Los canales se identificaron identificando picos en el espectro de RF, visibles en el contexto del ruido general. Después de identificar el pico, se sintonizó la tarjeta DVB para interpretar y grabar la señal como una transmisión de video digital convencional para televisión por satélite.
Con la ayuda de las intercepciones de prueba, se determinó la naturaleza del tráfico y los datos de Internet se separaron de la televisión digital (se utilizó una búsqueda banal en el vertedero emitido por la tarjeta DVB usando la máscara «HTTP», si se encontraba, se consideró que se encontró un canal con datos de Internet).
La investigación de tráfico mostró que todos los proveedores de Internet por satélite analizados no utilizan el cifrado de forma predeterminada, lo que permite a un atacante escuchar el tráfico sin obstáculos.
La transición al nuevo protocolo GSE (Generic Stream Encapsulation) para encapsular el tráfico de Internet y el uso de sofisticados sistemas de modulación como la modulación de amplitud 32-D y APSK (Phase Shift Keying) no complicó los ataques, pero el costo del equipo de interceptación ahora se redujo de $ 50,000 hasta $ 300.
Una desventaja significativa cuando se transmiten datos a través de canales de comunicación por satélite es un retraso muy grande en la entrega de paquetes (~ 700 ms), que es decenas de veces mayor que los retrasos en el envío de paquetes a través de canales de comunicación terrestres.
Los objetivos más fáciles para los ataques a los usuarios de satélites son el tráfico de DNS, HTTP sin cifrar y el correo electrónico, que suelen utilizar los clientes sin cifrar.
Para DNS, es fácil organizar el envío de respuestas DNS falsas que vinculan el dominio con el servidor del atacante (un atacante puede generar una respuesta falsa inmediatamente después de escuchar una solicitud en el tráfico, mientras que la solicitud real aún debe pasar por un proveedor de tráfico satelital).
El análisis del tráfico de correo permite interceptar información confidencial, por ejemplo, puede iniciar el proceso de recuperación de contraseña en el sitio y espiar el tráfico enviado por correo electrónico con un código de confirmación de la operación.
Durante el experimento, se interceptaron aproximadamente 4 TB de datos, transmitidos por 18 satélites. La configuración utilizada en ciertas situaciones no proporcionó una interceptación confiable de las conexiones debido a una baja relación señal/ruido y a la recepción de paquetes incompletos, pero la información recopilada fue suficiente para saber que los datos estaban comprometidos.
Algunos ejemplos de lo que se encontró en los datos interceptados:
- Se interceptó información de navegación y otros datos de aviónica transmitidos a las aeronaves. Esta información no solo se transmitió sin cifrado, sino también en el mismo canal con el tráfico de la red general de a bordo, a través del cual los pasajeros envían correo y navegan por sitios web.
- Se interceptó un intercambio de información sobre problemas técnicos en un petrolero egipcio. Además de la información de que la embarcación no podría hacerse a la mar durante aproximadamente un mes, se recibió información sobre el nombre y el número de pasaporte del ingeniero responsable de solucionar el problema.
- Un abogado español envió una carta al cliente con detalles del próximo caso.