VSAT(Very Small Aperture Terminal)即甚小口径卫星终端站,它的出现彻底改变了海上行动,但是目前对海上VSAT服务的安全性了解得还不够。从历史上看,高昂的设备成本一直是研究人员和攻击者的障碍。在本文中演示了威胁模型的重大变化,证明了使用不到$400的广泛使用的电视设备就可以对海上VSAT网络进行的实际攻击。这是通过GSExtract(一种专用的取证工具)实现的,该工具可以从VSAT数据流中提取IP流量。
分析了超过1.3TB的实际海上VSAT记录(涵盖2600万平方公里的覆盖区域),通过实验评估了这种威胁的影响。这些系统中使用的基础网络平台代表了全球海上VSAT服务市场60%以上的市场。发现某些世界上最大的海事公司的敏感数据经常通过VSAT船对岸(ship-to-shore)通信泄露。
通过说明性案例研究将这种威胁进行了背景分析,涉及范围从拦截和更改航海图到盗窃护照和信用卡详细信息。除此之外,还展示了在某些网络配置下任意拦截和修改TCP会话的能力,从而可以对海上船舶进行中间人攻击和拒绝服务攻击。本文最后简要讨论了VSAT环境中加密的独特要求和挑战。
0x01 Introduction
海上运输业已趋向于由越来越少的船员操作的越来越大的船,这是由于现代船数字化的推动而发生的变化。 2015年12月,只有27名成员的CMA CCM Benjamin Franklin访问了洛杉矶港,运来价值超过9.85亿美元的货物。诸如此类的船已经利用数字化技术使海运业成为全球经济的基石部门,每年运输的贸易量超过全球贸易量的80%。此外,在可预见的将来,预计将在海上作业中使用计算技术将有所增加。甚至可能发展为完全自主的船只。
这场数字化革命的关键推动因素之一是船对岸通信的改进。通过地面和天基无线电传输,陆上行动中心仍与穿越地球最偏远地区的船只保持连接。但对其安全性的研究很少,本文为理解和确保这些日益重要的联系做出了初步的贡献。
具体来说,本文重点介绍一种主要的船对岸通信技术:VSAT卫星宽带。证明攻击者可以使用标准的卫星电视设备来拦截甚至修改海上VSAT连接,而这些设备的价格不到最先进替代设备的1%。此外,提供了一种专用的取证工具GSExtract,旨在从消费级设备上收集的高度不清晰的海上VSAT数据中恢复敏感的IP流量。
GSExtract用于对两个主要的向欧洲和北大西洋提供服务的海上VSAT提供商进行实验分析,服务范围超过2600万平方公里。这两个提供商依赖于基础网络平台,该平台在全球海上VSAT市场中占有60%以上的份额。
海上VSAT通信的现状引起了严重的安全和隐私问题。从超过1.3 TB的实际卫星广播录音中,选择了一系列示范案例研究,重点研究了对海上航行,乘客和船员隐私以及船只安全的独特威胁。结果表明,世界上最大的几家船运,货运和化石燃料公司都依赖脆弱的VSAT网络,这些网络可能出于犯罪,海盗和破坏目的而被滥用。本文最后简要讨论了可以解决这些问题的即时和长期技术改进。
0x02 Related Work
迄今为止,尚未进行海上VSAT无线电信号的实验分析,但有关海上网络安全的更广泛的文献已经开始出现。对几种海洋导航技术的理论攻击,包括:全球定位系统(GPS),自动识别系统(AIS)以及电子海图显示和导航系统(ECDIS)。
可以在有关GPS安全性的文献中找到对攻击的一些实际考虑。例如2013年,得克萨斯大学奥斯汀分校的研究人员证明了在豪华游艇“白玫瑰”号上欺骗GPS位置读数的能力。他们进一步建议,攻击者可能会利用GPS子系统来更改船只坐标,甚至劫持船只。俄罗斯当局在黑海中对GNSS进行欺骗的报告表明,这种攻击已经付诸实践。除海洋外,围绕GPS欺骗和对策这一话题的研究也要广泛得多。
关于AIS,这是一种几乎通用的海上位置报告和防撞系统,在学术界和业余爱好者中都引起了极大的兴趣。无线电社区已经出现,它使用软件定义的无线电记录AIS信号并开发开源地图来跟踪海上交通。此外,以安全性为重点的研究已经确定了AIS环境中的许多漏洞,包括创建不存在的船只或虚假碰撞事件的能力。
在海事行业中,组织通常对自己抵御网络攻击的能力充满信心。最近对海事主管和网络安全决策者的调查发现,近70%的人认为该行业“为网络安全做好了准备”。此外,大型海事公司(员工人数超过400人)的代表100%认为他们的公司已经“做好了防止数据泄露的准备” 。
很少有专门针对海上VSAT安全特性的研究。最为突出的是来自DEFCON和Blackhat的IOActive公司的私人安全研究人员的两次会议演讲,其中披露了许多广泛使用的VSAT路由器软件中的严重固件漏洞。但是,研究并未扩展到与这些设备之间收发的无线电信号,也没有考虑地面窃听者的能力。还存在与卫星宽带的总体安全性相关的外围研究。但是,这项研究集中在广泛用于地面卫星宽带服务的MPEG-TS编码方法上,而不是倾向于在专门的海洋系统中使用的新标准。考虑到在航空等其他运输部门的专用多用途数据链路中发现了重大的安全问题,因此有必要对VSAT无线电信号进行仔细研究。
相对缺乏对海上VSAT安全性的研究可能部分是由于与传统的卫星宽带相比,主要的服务提供商倾向于利用更复杂的传输模式(例如16或32APSK调制)和更新的协议(例如通用流封装或GSE)。尽管存在许多用于解释MPEG-TS记录的开放源代码和免费提供的工具,但还没有类似的软件可用于GSE。此外,出售给海上VSAT客户以接收和解释这些信号的设备(例如下图中的系统)可能要花费50,000美元以上。这些高昂的费用成为研究人员进入的重要障碍。
0x03 Background
A.海上VSAT的用途
通过使船舶保持与地面计算机网络的连接,无论它们位于何处,VSAT一直是数字化的关键驱动力。 VSAT的特定用途在很大程度上取决于给定船舶的目的。例如,邮轮运营商可能会使用VSAT为乘客提供宽带互联网连接,而一艘渔船可能会利用基于云的渔获率数据分析。
但是,有几种通用的VSAT连接用例具有广泛的适用性。例如,海上运输受到严格监管,VSAT服务允许跨部门的船舶在到达之前就与港口当局和陆基监管专家进行通信。此外,通过VSAT交付的现代船队管理产品使海运公司能够保持对船队状态的态势感知,提供远程专家支持,并根据天气变化优化燃油效率和调度。最后,VSAT连通性提供了关键的安全和导航辅助,从远程医疗支持到最新的导航图。
B.VSAT网络架构
在某种程度上,术语“ VSAT”是错误的称呼。虽然首字母缩写词表示“非常小”的终端,但超过汽车大小的产品通常作为VSAT硬件出售。而且,从通信协议的角度来看,VSAT的指定意义很小。 VSAT服务运营商使用多种协议,包括许多专有的和未记录的协议,适用于整个VSAT行业的概括很难,即使不是不可能。
然而,在海运背景下,由于航运业的全球性,VSAT服务更加标准化。世界上一个地区的卫星服务运营商将与其他地区的运营商签订分许可协议,以提供全球覆盖,这需要使用可互操作的协议。例如,本文考虑的两个提供商都依赖于全球1200多个VSAT网络中使用的基础网络技术堆栈,并且在海域中拥有60%以上的市场份额。
在本文中,重点关注从地球静止轨道(GEO)运行的卫星网络。与低地球轨道(LEO)相比,对地静止网络为海上VSAT提供了两个主要优势。首先,由于卫星相对于地球表面上的固定点显得静止,因此接收信号比LEO网络中的信号更容易,在LEO网络中,卫星经常越过地平线。此外,GEO卫星的工作高度超过30,000 km,这使单个卫星的覆盖范围达到数百万平方千米。这些广泛的覆盖范围对于在偏远海洋水域运营的海事客户特别有吸引力。 GEO网络的主要缺点是所涉及的长距离会产生光速延迟,从而增加网络延迟。
海上VSAT网络的基本架构与其他卫星网络环境没有显着差异。如上图所示,客户将网络请求发送到其提供商的卫星,然后卫星将这些请求以不同的频率中继到大型地面站。然后,该地面站通过开放的互联网转发客户请求,接收响应,并将这些响应转发回卫星,然后再将这些相同的响应转发回客户。从地球静止轨道开始,光信号传播的速度意味着在理想条件下,此过程大约需要500毫秒。
卫星网络窃听的一个独特方面是,攻击者在覆盖区域内的地理位置可能会对他们观察某些信号的能力产生重大影响。例如,上图中描述的攻击者可以轻松地观察到卫星互联网服务提供商(ISP)对客户的响应,但是要拦截客户发送的重点uplink链路请求要困难得多。这意味着在实验分析中,记录的流量通常只包含卫星客户接收的“forward-link”数据包,而不包含客户发送给其ISP的“reverse-link”数据包。从理论上讲,物理上位于卫星ISP附近的窃听者可以拦截此类数据包,但是用于传输连接的这一部分的波束比普通广播信号要窄得多,占用空间也较小。另外,卫星到地面站的链接可能会在硬件不那么广泛使用的频率上运行。
0x04 Experimental Design
A.设备、目标和记录
为了评估海上VSAT通信隐私的现状,开发了一项实验来收集和分析来自两个主要服务提供商的代表性海上VSAT服务,其中一个主要为北大西洋的航运路线提供海上服务,另一个提供区域性服务。在北欧和地中海水域提供服务。研究涉及的信号足迹的近似图如下所示。
商业海上VSAT系统价格昂贵,即使攻击者有足够的资金来进行安装,这些系统通常也不会直接卖给消费者,而是根据企业对企业或“ VSAT即服务”模型(通常以合同的形式每月数千美元销售给消费者月)。因此,攻击者可能更喜欢使用价格低廉的卫星电视设备。
使用标准的家庭电视卫星天线和廉价的业余卫星调谐器会引起一些问题。与海上VSAT系统相比,消费级设备可能更小且定位精度也不高。这导致较低的天线增益和较低的信噪比,结果是在信号处理阶段将丢失许多帧。而且,当解调更复杂的调制时,调谐器硬件本身通常通常基于FPGA或ASIC的解调器可能无法保持可接受的吞吐率。在海上VSAT中,16和32-APSK调制被广泛用于高带宽连接。与此形成鲜明对比的是,简单的QPSK和8PSK调制在地面生态系统和消费级硬件中占主导地位。
尽管存在这些问题,假设资源贫乏的攻击者仍然可能能够拦截,这是因为窃听者不一定需要100%的可靠性来构成威胁,即使窃听者错过了所有数据包的一半,他们窃听的一小部分也可能包含敏感信息。为了检验这一理论,将实验设备限制在广泛使用的消费级产品上,总成本不到400美元(下表)。
在特定实验设置中,设备能够接收Ku波段频率范围(10.7-12.75GHz)中的DVB-S2信号。尽管海上VSAT服务在许多不同的频谱范围内提供(特别是由于海上雨衰rain-fade的影响而在C波段提供),但预计Ku波段的任何发现都应在其他频率范围内保持。值得注意的是,本文研究仅限于DVB-S2信号。尽管DVB-S2是数百家卫星宽带运营商使用的主要标准,但仍存在一些专有替代方案。要分析此类产品,将需要完全不同的技术方法(可能还需要不同的硬件)。
虽然提供VSAT服务的卫星的位置已广为人知,但所使用的特定频率却不是。为了识别频率,攻击者必须扫描卫星无线电发射的RF频谱以寻找信道,然后确定哪些用于VSAT服务(参见上图)。对于本实验主要在信号调制设置(例如32-APSK)和原始信号记录中检测到的字符串的基础上,在两个对地静止平台上总共确定了15个VSAT流。
B.数据提取和信号解释
研究中的两个目标海上VSAT运营商都采用了现代协议栈,该协议栈将较新的DVB-S2标准(于2005年正式取代1995年的原始DVB-S标准)与自适应编码和调制(ACM)相结合。使用欧洲电信标准协会于2007年首次提出的通用流封装(GSE)协议,将数据进一步封装为通用连续流,下图概述了这种封装方法。
与旧的多协议封装(MPE)流不同,不存在用于接收和解释这种格式的卫星数据馈送的公开可用软件。本文开发了GSExtract,这是一组python实用程序,可以从GSE连续流的原始记录中提取任意IP数据。对于海上VSAT服务中最常用的馈送,GSExtract允许攻击者使用质量相对较低的卫星电视设备可靠地解释很大一部分广播数据。
值得一提的是,GSExtract不仅仅是DVB-S2和GSE标准的实现。相反,该程序利用了有关海上VSAT实现的一些假设,以在出现频繁的信号处理故障时能够恢复任意IP数据包。由于这些假设,GSExtract不适合作为运行海上VSAT互联网服务的程序,但它作为取证工具表现良好。所采用的两种核心策略是使用已知的有效MATYPE标头作为“ crib”以在损坏的流中进行重新同步,以及当数据片段被无线电接收器遗漏时对内部有效载荷数据进行智能填充以构造有效数据包。
C.搜集和鉴定
为了初步评估GSExtract的性能,选择在两个目标卫星上记录来自两个转发器的24小时数据,这两个目标卫星在研究站点提供最强和最可靠的信号(以信噪比表示)在欧洲。总计,这相当于96个小时的海上交通记录和大约300GB的重构数据包捕获量。如所预期的那样,使用消费级硬件进行的录制并不完美,并且会丢失大量数据。 GSExtract与TBS-6903卡制作的原始DVB-S基带帧记录进行了接口,因为没有发现能够处理损坏记录的更高层的软件。不过,GSExtract能够提取目标流中包含的40-60%的GSE PDU,并部分恢复损坏的PDU的另外10-25%(下图)。
对于所传输的互联网流量,由于缺乏真实性,这使得很难确定所用硬件成功获取了VSAT提要的比例。但是,可以基于GSExtract注入恢复的捕获中的填充字节数来得出代理指标。在大量IP数据包被破坏的情况下,预计在重构部分IP有效负载时,GSExtract将向生成的.pcap文件中注入相应数量的字节。在成功恢复大多数IP数据包的情况下,GSExtract不会添加许多其他字节。此度量标准表明,在IP数据包级别,GSExtract平均恢复了大约给定IP有效负载的92%。但是,就整体数据量而言,估计GSExtract能够重构在给定频率下传输的字节的60%到85%之间(下图)。性能与信号质量大致相关,使用GSExtract,最低质量的数据信号也显示出更高的数据损坏率。跨每个信号的特定网络属性和行为(例如用于视频流和网络浏览)可能会导致性能测量结果出现其他差异。
在数据包方面与在字节方面相比,平均恢复率之间的差异是由于在GSE中使用分段造成的。具体来说,最可能由GSExtract恢复的IP数据包是较小的数据包,可以在单个BBFrame中完全传输这些数据包。此大小通常每分钟变化一次,具体取决于网络流量情况。但是,通常,随着IP数据包变大,碎片的可能性增加。 IP数据包的分片越多,信号硬件就不会收到那些分片之一。这种关系的强度可以在下图中看到。
但是,即使在分片数据包的情况下,GSExtract通常也能够识别和恢复丢失的有效负载的重要部分。尽管没有可比较的技术水平,但人们会期望解码器在更高的分段度下具有更高的错误。相比之下,GSExtract打破了这种正相关关系,无论分片率高低,都可实现可靠的部分回收率(下图)。即使在高度分散且不可靠的流中,GSExtract也会成功识别并部分重构接收到的GSE PDU的84%至92%。本质上,GSExtract利用了由卫星硬件成功解调的绝大多数流量。仅在卫星硬件未接收到IP标头本身的情况下,有效载荷才完全“不可恢复”。
D.其他实验集合
除了最初的四个实验提要,还记录了每个服务提供商连续一周的访问量。旨在支持随着时间推移对流量模式和行为进行更深入的测量。总体而言,这提供了约1.3 TB的数据和超过十亿的DVBS-2消息用于分析。
除了存储成本外,攻击者使用此方法记录数据的能力没有实际限制。即使在信号完全中断或丢失的情况下(例如在不利天气情况下),GSExtract仍能够自动重建和恢复对损坏的GSE数据流的分析。尽管超出了此安全性分析的范围,但GSExtact可能因此非常适合于海洋生态系统内流量趋势的多月纵向测量研究。另外,虽然单个卫星天线一次只能调谐到一个频道(实际上是对可以收集的数据量的限制),但同时使用多个天线可能会捕获更多的数据。出售给国家安全服务的VSAT专用信号情报(SIGINT)收集平台也可能具有此功能,尽管其成本远远超出了提出的威胁模型。
0x05 Threat Model
该实验着重于复杂度相对较低的威胁参与者。除了前面提到的攻击者资源受限于消费级设备的假设外,还假设攻击者无法直接干扰卫星网络本身的运行。也就是说,攻击者对于卫星信号是被动的,不能直接注入,欺骗或中断无线电发射。考虑到主动攻击者可能性的未来实验可能被证明是有价值的,但在现实世界的海上VSAT网络中难以安全合法地进行。
虽然威胁模型在卫星环境中假设是被动攻击者,但授予攻击者针对网络连接系统进行主动攻击的能力。例如,如果攻击者在卫星馈送中观察到机密信息,将考虑如何滥用这些信息来影响可公开路由的海上平台。
0x06 General Findings
默认情况下,研究中包括的所有四个海上VSAT网络似乎都未应用加密。此外,对另外11个VSAT网络流的简要审查并未发现任何完全加密的海上VSAT服务。尽管无法确定选择的提供商在多大程度上代表了全球VSAT行业,尤其是考虑到对欧洲和北大西洋的地理关注,但这表明使用GSE传输的大部分海上VSAT信号受到的保护不足。鉴于这些网络中使用的基础路由设备占全球海上VSAT市场的60%以上,并且被十个最大的VSAT提供商中的八家使用,希望这些网络上的发现对行业具有广泛的适用性。此外,研究中包括的一颗卫星是在过去3年内发射的,这表明这些发现不仅代表了传统系统中的安全问题。
A.应用程序和协议
记录中确定的主要协议概述在下图中。在某种程度上,通过海上VSAT网络传输的流量类似于任何其他ISP所观察到的流量。例如,船员和乘客使用海上VSAT终端进行一般的Web浏览,媒体流和个人通信。当然,对于攻击者来说,拥有ISP级别的窃听者的优势非常罕见,尤其是在数百万平方公里的覆盖范围内。
但是,海事网络的使用和操作存在一些重要差异。海上VSAT服务是内部业务技术基础结构以及与更广泛互联网的外部连接的组成部分。结果,海上VSAT流量不仅包括对互联网服务的一般访问,还包括内部业务通信。例如,通过捍卫企业局域网和互联网之间的边界来设计和保护企业网络的传统方法可能不容易转换为VSAT架构。
通过将用于访问卫星网络内IP地址的协议与位于其外部的协议进行对比,可以证明这种差异的效果(上图)。当两个参与者都位于VSAT网络“本地”时,观察到未加密协议(例如HTTP和明文POP3,与HTTPS或TLS带有TLS的协议相反)的使用率要比其中一个参与者位于卫星外部时高得多环境。这可能表明海上运营商认为VSAT网络的运行方式类似于公司LAN环境,并且不知道这些网络会受到空中窃听。
海事网络与陆地网络的不同之处在于,通信在海事环境中具有多种独特的功能目的。成千上万的专用应用程序旨在实现对各种船舶组件的远程监控和操作,它们依赖于海上VSAT网络与地面办公室或船队中的其他船舶进行通信。鉴于这种技术多样性,很难准确地描述哪些捕获的流量属于哪些应用程序。但是,下表中概述了在GSExtract的捕获中观察到的一些常见的海洋和地面应用功能。
B.船商和船只
尽管先前的研究表明,大型海事组织比小型海事组织对网络安全控制更有信心,但观察到的敏感数据不仅来自小型船队,而且还来自世界上一些最重要的海事运营商。其中包括《财富》全球500强的三名成员,以及至少六个年营业额合计超过7,000亿美元的公开交易实体。仅在货运部门,就观察到来自组织的敏感流量,这些组织加起来占全球海运总量的三分之一以上。
GSExtract总共确定了9,000多个属于VSAT网络的不同主机,这些主机在记录窗口中参与了50个或更多会话。 4,000多个参与者参加了至少500场会议,并且400多个具有公开访问的IP地址。尽管船舶有时可能会在船上拥有多个VSAT终端,但这些数字表明,在交通记录中已经包括了成千上万的独特船舶。由于开销和等待时间的问题,以及卫星通信的一般广播特性,VSAT网络通常依赖静态IP地址分配(与DHCP相对)。结果,IP地址大致映射到物理主机路由器或设备。
由于每艘船上都有独特的技术,因此不可能完全根据船舶的互联网流量自动进行识别。但是,攻击者自然会对将拦截的流量链接到海上的物理船只感兴趣。为了表征此任务的难度,从流量中随机选择了100个主机IP地址。然后提取以下基本元数据特征:
•前10个源和目标自治系统编号(ASN)
•排名前50位的TLS证书替代名称
•前50个TLS主题通用名称和对象名称
•排名前50位的TLS发行者公用名和对象名
•前50个DNS查询主机名
•捕获了前2000个唯一的7个以上的字符串
使用此基本元数据,可以收集有关单个容器的重要信息。对于100台主机中的62台,此数据足以确定板载哪种类型的计算设备。在某些情况下(17),只能确定板载设备(例如Windows 10,Android)使用的常规操作系统。但是,人们通常可以确定在这些主机上运行的各个软件程序,甚至是特定于指纹的软件版本。实际上,对于其中的三台主机,已确定“常见漏洞和披露(CVE)”报告很可能可针对船上的特定软件进行利用。实际上,大约四分之一的被分析主机(26)可以绑定到特定所有者或机队,从而使攻击者可以将目标锁定为特定公司或行业。
这些组织分布在八个广泛的行业中:石油,天然气,货运,化工航运,政府,渔业,海底建筑,海上支持和海上风电。此外,这些公司来自11个不同的国家(德国,英国,荷兰,韩国,挪威,西班牙,百慕大,巴基斯坦,瑞士,波兰和意大利)。最大的雇员超过70,000,而最小的雇员仅操作一艘渔船。这些中的12个可以进一步与特定的船只关联(或者,在一种情况下,可以是远程极地研究站)。表III总结了这些船只,并暗示了容易受到这种威胁的海事组织的多样性。
简单的推断表明,仅使用粗略的手动分析,一个专门的攻击者可能会希望从该研究收集的样本流量中识别出1000多艘船。此外,这可能是一个下限。对来自给定主机的流量进行更深入的手动检查可能使攻击者可以识别关联的客户并以更高的可靠性进行运送(尽管这会增加调查时间)。
该实验是出于两个目的而设计的。首先,使用海上VSAT连接识别可能危害船员和船舶的人身安全的安全问题。其次,确定不太严重但重要的问题,这些问题可能会损害海上VSAT客户的数据隐私和网络安全。
0x07 Physical Safety and Operations
先前的工作承认了网络攻击者针对海上船只的理论愿望,而在讨论可能表现出此类攻击的主题机制的技术研究之间存在着重大空白。实验结果表明,针对海上VSAT通信的攻击可能就是这种机制之一,确保海上VSAT的安全不仅对保护直接联网的设备很重要,而且对更广泛的人身安全和船员也很重要。具体来说,考虑了两个目标:用于在海上安全运输船只的航空和制图系统,以及有关船上货物内容或安全程序的敏感操作信息。
A.导航和制图
在船舶导航中,海上VSAT服务用于提供有关其他船舶位置,最佳航线规划和准确航海图的实时数据。这些关键的操作环节直接影响现代船舶安全可靠地运行的能力。可能损害受害者船只上导航数据可靠性的攻击者可能会对受害者和公众造成严重伤害。例如,一个恶意组织改变了航海图,使油轮在暗礁上搁浅,将对环境造成灾难性的影响。同样,有能力查看,甚至改变计划中的货船路线的海盗可以确定尝试扣押的最佳时间和地点。例如,在交通记录中从数百万美元游艇中截获的交通包括针对即将到来的目的地的详细行程计划。
人们对AIS的位置流量非常感兴趣,研究的交通记录包括超过400万条AIS消息,描述了各种船舶的位置。在下图中可以找到其中一些信号的地图。这些消息大部分似乎是从地面网络服务器传输到各种船只上的AIS导航设备的。如果攻击者设法在这些流上传输其他AIS消息,则他们可能会恶意隐藏或人为地将船只引入目标船上的海图中。
以前曾有人提出,攻击者可能滥用电子海图显示和信息系统(ECDIS)导致船只与海底危险相撞。但是迄今为止,尚未发现攻击此类系统的实用机制。 ECDIS已经取代了现代船只上的纸质海图,并且是安全海上航行的重要组成部分。与纸质海图相比,现代ECDIS系统的主要优点之一是能够通过使用VSAT连接来频繁更新和交互数据。这些更新包括称为“海员通知”(NMs,Notices to Mariners)的重要安全消息,这些消息传递了有关发展中的航海危险的详细信息。
尽管每种ECDIS产品都是不同的,但在研究中观察到的流量表明,由于海上VSAT网络上的信息泄漏,一些常用的ECDIS平台易受攻击。在某些情况下,ECDIS图表更新是通过未加密的POP3电子邮件协议传输的。在许多情况下,目标ECDIS会自动下载并使用正确命名并发送到正确POP3收件箱的文件。在其他情况下,必须由工作人员从电子邮件收件箱中手动将更新复制到外部存储设备上,并定期定期将其插入适当的ECDIS设备中。还发现了一些实例,其中通过与或HTTP API的不安全FTP连接来更新ECDIS图表(下图)。如果攻击者通过任何一种更新机制提交了恶意更改的文件,他们将能够更改用于导航受害者船只的航海图。
存在用于ECDIS图表的密码验证的公共标准(IHO S-63),它将减轻这种攻击。 S-63标准的开发明确目标是防止恶意软件对船只造成伤害,它是对较旧的不安全格式(S-57)的补充。S-63实现了公共密钥签名系统,以帮助客户端验证图表的真实性和完整性。
尽管如此,在流量捕获中还是出现了以未经身份验证的S-57格式引用超过15,000个图表的目录引用。此外,许多流行的制图服务都不使用S-57或S-63标准,而是使用它们自己的专有格式。粗略检查了两种此类特定于供应商的格式,这表明未使用密码验证系统。例如,下图描绘了通过不安全的Web API发送的NM警报。
调查这些专有格式对数据篡改的鲁棒性的未来系统工作可能会为海图用户提供有价值的背景信息。无论如何,这些发现清楚地证明了采用S-63或类似验证标准的重要性,甚至对于“气隙隔离”(air-gapped)或以其他方式保护的ECDIS,其恶意软件入侵风险很小。
B.船舶运营与安全
除了导航和制图外,现代船舶的日常其他操作还依赖于VSAT连接性,并且在不安全的VSAT传输情况下,可能会对船舶和船员的安全构成安全威胁。即使是看起来不直观的简单数据(例如清单上的人员在船只上),也可能给海盗提供危险的优势,使海盗评估其压制目标船员的能力(下图)。
定期运送货物舱单和各港口当局要求的其他信息可能使攻击者能够识别出感兴趣的目标。定期观察货物清单,以电子邮件附件的形式或以各种专有船队管理软件产品的流量封装形式讨论船舶的内容。在一个说明性示例中,观察到一个容器发送了一份报告,表明该船正在运输硫化氢(下图)。以尽管化学武器开发的特殊性远远超出了本文的范围,但此类信息的泄露引起了人们的直觉关注。
0x08 Passenger and Crew Privacy
与许多大型组织一样,海事公司经常处理有关其客户和员工的敏感数据。与其他大型组织不同,此数据的很大一部分是通过空中传输的,对于VSAT连接,它可以被数千英里外的攻击者物理拦截。海上VSAT连接对窃听的普遍敏感性引起了严重的隐私问题,并表明海上VSAT流量可能是网络犯罪分子和身份盗窃者的目标。
例如,越过国际边界的船舶必须保留有关其乘客和船员的签证和护照详细信息的信息。该数据通常在预计到达给定港口的情况下通过船到岸连接传输。尽管该数据很敏感,但在一个24小时的窗口中,仍然能够找到十几个通过VSAT连接以纯文本格式传输的完整护照详细信息的实例(上图)。
面向消费者的海上业务(例如渡轮和游轮)依赖于向旅客出售商品和服务的能力,作为其收入流的一部分。因此,他们必须在海上处理和验证信用卡付款细节,并使用VSAT技术来促进这项服务。下图描绘了在研究过程中从车载信用卡读卡器中观察到的12,000多条消息之一。这些机器采用的通信协议进行逆向工程不在本项目的范围内,但是这种流量的存在表明,敏感的财务数据可能无法通过VSAT连接得到充分的保护。先前在航空领域中通过不相关的地面无线电协议已经发现了与安全交易处理类似的问题。
与海事组织的业务运营有关的内部网络流量也可能包含高度敏感的信息。虽然大多数电子邮件协议流量都是经过加密的,但在实验记录中发现了超过130,000个未加密的电子邮件会话。其中包括非常敏感的信息,例如,拥有数百万美元游艇的船长的Microsoft帐户的密码重置链接,以及石油公司领导之间的坦率讨论,其中讨论了最近导致船员死亡的事故。在整个大陆上以纯文本格式广播此信息令人深感关切。
电子邮件只是通过VSAT连接泄漏敏感业务信息的众多环境之一。例如,一个组织使用VSAT连接在其整个船只上复制员工配置文件,结果泄露了数百个员工电子邮件,用户名,地址,近亲信息和密码哈希。同样,观察到超过95,000个未加密的FTP会话,其中许多会话用于在整个机队中传播有关机组人员和用户帐户的更新信息。尽管可以广泛使用这些协议的加密替代方案,但许多海事组织并未在实践中采用它们。
0x09 Active Attacks
除了被动监听之外,攻击者还可能希望直接干扰主动VSAT通信链路。但是,对于资源贫乏的对手,这样做有许多障碍。
首先,反馈的非广播部分(例如,从船到卫星的Uplink连接,或从卫星到地面站的下行链路连接)是高度定向的信号。要拦截或欺骗这些组件,可能需要使用视线范围内的飞行器,从船只到人造卫星,或已战略性部署以侦听目标船只上的VSAT碟形天线的船只。此外,成功地实时复制卫星馈电的调制状态和信号特征将需要使用昂贵且复杂的无线电设备。考虑到这些限制,主动攻击者在VSAT环境中所面临的威胁一直很少受到关注。
A.TCP会话劫持
实验设置成功演示了攻击者通过TCP会话劫持在现实世界海上VSAT环境中任意修改流量的能力。尽管已经很好地了解了TCP劫持的过程,但是由于具有挑战性的竞争条件,这些攻击在地面ISP网络中很少实用。
卫星网络的独特物理特性对该威胁模型进行了重大更改,因为几乎可以肯定攻击者会赢得劫持会话的竞争(上图)。卫星链路上的光速延迟很大。对于捕获的425个可公开路由的主机,平均往返时间(RTT)约为725 ms,中位RTT约为700 ms。这使攻击者可以在350毫秒左右的时间内发送其恶意TCP响应。即使在理想的理论条件下,对地静止轨道的RTT仍可测量500毫秒以上。
B. TCP劫持要求
海上VSAT网络仅在特定条件下易受TCP劫持攻击。首先,攻击者必须确定到目标TCP对话两端的公共IP路由。通常,这要求网络中的容器具有公共IP地址。但是,尽管付出了更多的努力,也有可能通过网络地址转换(NAT)来标识IP映射。例如,在实验性捕获中,到内部主机的公共IP路由有时会在SMB文件路径和HTTP标头中泄露。有趣的是,许多此类泄露源于对易受攻击主机的恶意软件流量扫描,这表明使用加密的应用程序层协议(例如HTTPS)的组织策略可能不足以完全隐藏IP映射。
卫星生态系统特有的风险还在于,空中观测到的TCP会话与接收船和互联网端点观测到的TCP会话不同。这是由于使用了性能增强代理(PEP)。 PEP修改TCP连接并在TCP三向握手中生成人为ACK响应,以防止高延迟被TCP协议误解为网络拥塞的标志。
PEP可能会有很大差异。首先,他们可以修改客户端,ISP网关或两者的流量。此外,它们可以将流量“拆分”到不同的TCP会话中,从而为双方生成唯一的序列号和握手,也可以“窥探”到TCP会话中,进行不可见的操作并在整个链路上保留TCP标头信息。在前一种情况下,通过卫星链路传输的TCP会话号可能与两个或两个会话端点期望的TCP会话号不同。这可以完全防止劫持攻击(如果将连接“拆分”为三个跃点,则将攻击限制为一个方向;如果将连接“拆分”为两个跃点,则只能将攻击限制在一个方向)。
在研究中,大约425台主机(约占观察到的主机的5%)具有可公开路由的IP地址。但是,由于VSAT提供商之间公共IP地址的提供存在很大差异,因此这可能不是代表比例。在其他11家被考虑但未被选择进行长期录音的VSAT服务提供商中,大约三分之一为客户提供了可公开路由的IP地址。
C.劫持实施
要劫持TCP会话,GSExtract会监视实时VSAT流量,以了解从指定Internet主机到指定VSAT目标的TCP SYN连接。它从该截获的数据中提取适当的序列号,并将其用于将虚假TCP SYN-ACK响应传输到Internet主机。在合法响应完成其通过地球静止轨道的70,000 km行程之前,这种恶意响应会在几百毫秒内到达互联网主机。使用类似的过程来拦截三向握手和所有后续TCP数据包的最终ACK响应。
为了负责任地评估实际VSAT网络中的这种威胁,选择劫持与远程船只上的封闭TCP端口的连接。具体来说,对发送到位于VSAT环境中的IP地址的自己的HTTP请求生成了恶意响应。这能够成功地产生流量,该流量似乎来自在客户网络内运行的船只上运行的Web服务器。这种攻击可用于向地面运营中心虚假报告位置详细信息或其他船舶状态信息。
TCP会话劫持还启用其他攻击媒介,包括将命令注入telnet会话和对某些SSH配置的中间人攻击。在前面提到的发现的背景下,TCP劫持可能代表一种恶意更改ECDIS导航图,NM警报,AIS区域报告或其他操作重要信息的机制。此外,可以通过引入恶意的TCP RST数据包来实现小规模的拒绝服务攻击。因此,攻击者可能会大大降低与海上船只的所有TCP连接的可靠性。攻击者甚至有可能完全阻止与海上船舶的TCP连接。
仅评估了拦截从互联网到VSAT网络内主机的传入连接的能力,没有干扰来自船只的任何合法上行链路连接,因为这可能会中断关键通信并给最终用户造成伤害。尽管如此,希望这种攻击在拦截从卫星主机到更广泛的互联网的Uplink连接方面同样有效。在此方向上,攻击者的延迟优势将减少,但攻击者仍具有时间优势,即能够立即回复客户的请求,而不是通过开放的Internet路由请求并等待响应。这表明,窃听者尽管可以通过无线电拦截仅一半的连接,但仍可以获得对VSAT TCP流的全双工访问。
D.进一步的主动攻击
除了TCP劫持之外,直观上还可能出现针对VSAT系统的其他主动攻击。例如,至少有30,000个带有会话令牌的HTTP会话被识别,并且可能在HTTP劫持攻击中容易受到攻击。同样,通过VSAT提要定期观察DNS响应,而预测DNS查询可能很困难(因为这些查询是通过上行链路发送的,因此在信号捕获中没有观察到),某些操作系统(例如Windows的较早版本)会生成可预测的DNS交易ID,并且可以接受恶意响应。可能需要开展进一步工作,评估海上VSAT的主动攻击。但是,这将需要VSAT客户和服务提供商的合作。
0x0A Conclusion
从历史上看,获取设备的高昂成本和海事卫星协议的神秘性可能是攻击者造成威胁的阻碍,但是情况已不再如此。
通过利用廉价且广泛可用的卫星电视设备,证明了攻击者可以以不到传统设备成本1%的价格窃听许多海上VSAT连接。此外介绍了GSExtract,这是一种取证工具,可以从高度损坏和不完整的GSE转发器流中恢复和提取大量有效IP流量。这些工具在真实环境中进行了测试,用于观察四大主要海上VSAT流,这些流向欧洲和北大西洋提供了覆盖范围,覆盖范围超过2600万平方公里。这些提供商都采用了全球60%以上的海上VSAT服务行业所使用的基础技术堆栈。
通过此实验分析,发现海上VSAT网络缺乏基本的链路层加密。这些问题是针对其对船舶的安全航行和操作以及乘客和船员的安全和隐私的影响而进行的。此外,展示了根据VSAT网络配置甚至拒绝或修改某些船对岸通信的能力。简而言之,海上VSAT的不安全特性使对船舶的许多新颖威胁,可能被包括海盗,罪犯和恶意分子在内的各种相关威胁行为者利用。
实验结果表明对一些世界上最大,最重要的海事组织构成了重大风险。在一定程度上,海事运营商不了解窃听攻击对船对岸通信链路造成的风险,因此,希望本文是表征威胁的第一步。此外,建议在短期内使用通用加密技术,并在长期内建议使用定制协议,这些协议可处理卫星联网环境的独特延迟约束。连接海洋和太空的技术在推动现代生活的全球经济方面发挥了决定性的作用。确保这些网络免受越来越复杂和能力更强的攻击者的攻击,对于保留这些优势至关重要。