HITB议题解读 | The Birdman and Cospas-Sarsat Satellites

 

议题概要:

卫星通信在我们的生活中起着关键的作用,作者发现在全球拥有广泛应用的卫星搜索与救援系统可以被伪造信息、DDOS攻击和借助卫星进行私自通信等漏洞,并在研究过程发现此系统被严重干扰,影响正常的需要救援人员的生命安全,并呼吁大家不要干扰此系统。

 

作者介绍:

郝经利,360安全研究院研究员,独角兽团队成员,主要研究方向为卫星通信。

 

议题解析:

作者是一名卫星安全的研究员,由于卫星技术涉及非常广的知识,首先介绍了关于卫星不同轨道的区别。卫星常见的轨道主要有:LEO、MEO、GEO、SSO、IGSO等等不同轨道,每个轨道都有自己独特的特点和优势。除了GEO对地静止轨道卫星,其它卫星相对于我们地面要产生一个相对运动。所以如果想接收那些非静止轨道卫星的信号时,就必须要拥有追踪卫星的能力和设备。作者自己制作了开源的卫星追踪系统–OpenATS,

在使用此系统对一些卫星信号追踪时,发现了在卫星下行的L波段(1544.5Mhz)中存在一些对讲机通话的模拟信号,并且这些信号含有多普勒频移。我们平常所使用的对讲机频率一般分为UHF和VHF频段,L波段也有业余频段但是频率不在此范围,于是便展开了深入的调查和研究,引出了此议题的关键系统:COSPAS-SARSAT卫星搜索与救援系统。

卫星搜索与救援系统是一个全球共同建立的人道主义救援系统,起初是由苏联、美国、加拿大、法国4个国家发起,目前已经有超过42个成员组织。此搜救系统的求救终端分为了三种不同类别,一种为ELT,用在飞机上使用。一种为PLB用于个人或者团队,另一种为EPIRB,此类终端多用在海事船只上使用。在船只还有飞机上,这些求救信标是必备的安全设备。此信标可以人为激活或者自动激活,如果当船只或者飞机在经过强烈的震动和信标接触到水的时候,信标会自动激活,发射自己独有的信标消息。信标中含有GPS定位模块,会在消息中包含信标的GPS坐标,来告知救援中心自己的遇险位置。

当信标发射后,会被经过上空的搜救卫星接收并捕获,将消息发送给附近的陆地上的LUT(Local User Terminal)地面接收站。地面站接收到信号后,进行信号的解码工作,将信标的信息发送个MCC(Mission Control Centre)中心,MCC控制中心再根据信标的信息安排救援队伍前往遇险地点实施救援。在一些老的信标中,没有包含GPS模块,所以不能提供遇险地点的准确坐标。但因为卫星在某一时刻的位置是已知的, 我们根据多普勒频移计算公式:

其中Δf为频移,fc为通信频率,V为两物体的相对运动速度,c为无线电传输速度即光速,卫星可以检测得到Δf值,所以可以根据多普勒频移计算出信号与卫星的余弦角度来,从而可以大概定位到信标的信号位置。

在分析了此系统的技术文档中发现,此系统载荷接收来自终端的406MHz的求救信标,经过卫星的上变频,将信号变频到1544.5Mhz左右进行放大和广播给地面站,此卫星载荷含有两个通道,一个为SARP处理信道,一个为SARR转发信道。处理信道会将信标信号进行解调和解码工作,存储于卫星载荷内,以缓存的形式重复广播,以防止没有地面站收到的情况发生。但是此通道处理能力受到卫星电能限制,仅仅能同时处理一定数量的信标消息,所以在求救信标的终端内,设置为发射时间间隔随机化,防止遇到同时发射信标导致卫星接收失败的情况。而SARR是对信号不进行任何处理,直接上变频转发,也就是专业术语里的透明转发。

在深入分析此系统的技术资料发现,此系统含有以下漏洞:

一、此系统并没有使用任何有效的加密措施,任何人都可以对信标信号进行接收解码工作,这造成了此系统可以被伪造信标的漏洞,任何一个人可以使用SDR等设备伪造需要救援的虚假信标,让救援中心派去救援。信标虽然需要注册,但是由于可以接收来自卫星下行信号的信标,可以以此为攻击源,这样会导致MCC中心无法确定信标的真伪,浪费救援资源。

二、此系统由于SARP处理能力有限,会导致批量伪造信标的时候,会让SARP载荷满负载运行,无法处理来自真实需要求救的信标,这样会导致DDOS攻击,可能危及真实需要求救人员的生命。

三、由于SARR的透明转发器的工作属性,会导致此载荷有被盗用的风险。如果一个黑客以自己的调制方式和加密方式发送自己的数据,便可以借助此转发器进行跨区域远距离通信,盗用卫星链路资源。

在研究了此系统的一些技术参数和协议等信息后,编写了一个测试用的软件(HackSAR)和GNURadio项目,借助SDR软件无线电硬件PlutoSDR针对此系统进行虚假的测试,包括伪造信标、DDOS攻击、借助卫星通信等测试,但是由于软件具有一定的危害性,不开源软件和项目防止被别人利用。

作者在研究此系统的过程中,发现此系统被很多干扰信号严重干扰,无论从采集的澳大利亚、中国还是英国的卫星下行数据来看,干扰源非常多。这主要由于很多对讲机的通信频率覆盖范围在400~470MHz,包含406MHz,而有的人在406MHz使用的时候,会导致卫星此载荷被严重干扰。此卫星载荷设计的接收灵敏度非常高,大概为-160dBm,接收电平大约为-164~-137dBw。这样的设计目的主要是为了降低发射终端的发射门槛,使求救信标以较低的功率(35~39dBm)发射便可以被卫星捕捉到,发射机功率降低可以长时间运行。接收机的灵敏度已经远远超过普通常见的接收机灵敏度,这带来的缺点就是非常容易受到干扰,目前对讲机的很多发射功率可能达到30W,去掉自由空间损耗,远远大于接收机的最低接收门限,这样会导致卫星的载荷收到阻塞式干扰,阻塞干扰会导致卫星接收机的灵敏度降低,对其它真实信号无法正常接收成功的情况。

虽然这种情况下,干扰者可能是无意的,但是无线电条例规定是不允许个人在此频率上发射信号的。

此系统有非常广泛的应用范围,使用人数在不断上升,包含海事、航空等领域,已经有超过200万用户,从1982年第一个搭载此载荷卫星发射到现在,已经实施了41000多次救援行动,超过35000人被救援。此系统当前含有卫星数量为67颗,地面接收站为94座,地面控制中心目前超过34个。

COPSPAS-SARSAT是一个国际间合作的非盈利性救援组织,希望我们普通公民能提高自己的意识,不要有意或者无意干扰此系统,以免危及需要救援的人的生命安全。

(完)