Tízezer dollárból tökéletes műholdhekkelő rendszer építhető. A módszerrel a bochumi Ruhr Egyetem egy PhD-ösztöndíjasa, Johannes Willbold szórakoztatta Las Vegasban az idei Black Hat közönségét. (Az előadás absztraktja itt olvasható.) A kutató csapatával három orbitális pályán mozgó műholdat vizsgált meg. Kiderítették: a legalapvetőbb biztonsági rendszerek sincsenek meg rajtuk, emiatt meglepően egyszerű távolról átvenni fölöttük az irányítást. Az eredményeket összegző tanulmány PDF-ben innen tölthető le.

Védte őket a hit, hogy biztonságosak

Willbold szerint a műhold-üzemeltetőknek eddig egyszerűen szerencséjük volt: rendszereiket – a műholdakat és a földi állomásokat – az a közvélekedés védte meg a támadásoktól, hogy mégis csak nagyon drága eszközök, tehát valószínűleg feltörésük is megfizethetetlenül drága lenne. Ám mindez csak mítosz, derült ki az előadásból.

A műholdakkal történő kommunikációhoz például mindössze egy hitelkártya kell, ugyanis az Amazon AWS-nek és a Microsoft Azure-nak is van már földi állomás szolgáltatása (arról, hogy ez mit takar, az AWS Ground Station elindulása kapcsán írtunk). A firmware-ek technikai részleteinek megismerése sem akadály: az iparág megnyílt, és ezek a szoftverek kereskedelmi termékké váltak, azok többségét bárki beszerezheti tanulmányozás céljából. Összességében 10 ezer dollárból összehozható egy hekkelésre alkalmas földi állomás, véli Willbold.

A kutatók megkeresték a műhold-üzemeltetőket, és tőlük kérték be a szükséges információkat. Végül két CubeSat szabványú  (ilyen a BME-n épített MASAT-1 és 2 is) műholdról kaptak a kutatáshoz elegendő adatot: a 2013-ban pályára állított első észt műholdról, az ESTCube-1-ről, valamint az Európai Űrügynökség 2019 végén pályára állított OPS-SAT-járól, amely orbitális kutatási platformként üzemel. A harmadik vizsgált műhold a Stuttgarti Egyetem Űrrendszerek Intézetének Flying Laptopja volt, amelyet 2017-ben állítottak pályára.

Sem hitelesítés, sem titkosítás

Az eredmények igencsak meglepték Willboldékat: a két CubeSat mindenféle hitelesítési protokollok használata és titkosítás nélkül kommunikált a Földdel. Így egyszerűen átvehették volna a műholdak alapvető vezérlési funkcióit, és kizárhatták volna a rendszerből a tulajdonosokat. Mint a The Register konferenciabeszámolójában olvasható, ezt Willbold a helyszínen egy szimulációval be is mutatta. A Flying Laptopnál legalább az alapvető biztonsági rendszerek megvannak, még ha meglehetősen könnyen, szabványos technikákkal törhetők is.

A kutatók felvették a kapcsolatot műholdas rendszereken dolgozó fejlesztőkkel is, hogy visszaellenőrizzék az adatokat, és képet kapjanak: milyen hangsúlyt kapnak a fejlesztések során a biztonsági kérdések. Négy hónap alatt kilenc fejlesztőtől kaptak választ, akik összesen 132 műhold fejlesztésében vettek részt. Az ő válaszaikból is kitűnt: a biztonsági rendszerek alacsony prioritásúak a műholdak tervezésénél. A kilenc fejlesztőből mindössze ketten vetették alá rendszereiket bármilyen penetrációs tesztnek. A kapott válaszok alapján Willboldnak úgy tűnt, a fejlesztők többségénél hiányoztak is a biztonságos fejlesztéshez szükséges skillek.

A kutatók szerint minél nagyobb a műhold (tehát drágább az építése és pályára állítása), annál sebezhetőbb. A nagyobb műholdakhoz gyakrabban használnak kereskedelmi forgalomban kapható komponenseket, melyek kódbázisa nyilvánosan elérhető, míg a kisebb CubeSat-okhoz sokszor használtak egyéni kódot – tesztelés nélkül.

Mit csináljunk egy ellopott műholddal?

Agatha Christie óta tudjuk, egy bűntényhez indíték is kell. Miért térítene el valaki egy szatellitet? Willbold szerint a műholdak alkalmasak lehetnének káros információk vagy akár kódok továbbítására a földi célpontokhoz, vagy megzavarhatják más műhold-rendszerek kommunikációját, sőt egyfajta kamikaze-műholdként neki lehetne irányítani őket más Föld körül keringő objektumoknak.

Willbold szerint nem reális elképzelés, hogy a műholdak utólagosan kapjanak biztonsági kiegészítőket. Technikailag megoldható lenne, de ezek nagyon kihegyezett rendszerek, amikben milliwattra ki van számítva minden funkció. Így csak a core feladatok rovására lehetne biztosítani a titkosítás vagy hitelesítés energiaigényét.