Szinte észrevétlenül váltak mindennapi életünk szerves részévé a globális helymeghatározó rendszerek, miközben a biztonságukra szerepük súlyához képest kevés figyelem jut. Ilyen rendszer az amerikai GPS (Global Positioning System), az EU Galileo hálózata, az orosz GLONASS vagy a kínai BeiDou, valamint a különböző műholdas navigációs rendszereket összefogó GNSS (Global Navigation Satellite Systems) is.
Ezek a helymeghatározó rendszerek azonban támadhatók: a helymeghatározást biztosító műholdas jelek zavarhatók, illetve manipulálhatók is.
A genfi autószalon vicces hekkerei
Mind ez idáig az ilyen rendszerek biztonsági problémái csak egy szűk szakmai közösségben vetődtek fel, mivel egy ilyen rendszer megtámadására csak drága eszközökkel volt lehetőség. A helyzet azonban mára gyökeresen megváltozott, amire egy vicceskedő, egyelőre ismeretlen hekkercsoport tevékenysége hívta fel a szélesebb közvélemény figyelmet. Úgy hekkelték meg GPS-en keresztül az idei genfi autószalonon bemutatott több autó navigációs rendszerét, hogy azok egy angliai várost és 2036-os évet mutatták.
Korábban a helymeghatározó rendszereket manipulálásához pilótavizsgás és nagyon drága jelgenerátorokra volt szükség. Ma azonban pár száz dolláros hardverekből és nyílt forráskódú szoftverekből össze lehet rakni egy olyan zavaró eszközt, amivel távolról manipulálhatók a GPS-jelek (GPS spoofing). Egy kisebb hatótávolságú eszközt már 100 dollárért be lehet szerezni, és akár poggyászban fel lehet juttatni egy repülőre.
Még ennél is egyszerűbb magukat a végfelhasználói GPS-jeleket vevő eszközöket támadni. Egyes Uber-sofőrök például maguk használtak ilyenek appokat, hogy az alkalmazás hosszabb utat mutasson a valósnál, és így plusz bevételhez jussanak. Érdekes az a japán eset is, amikor valaki a GPS-adatok hamisításával próbált lehúzni egy bolthálózatot. A hálózat üzleteinek meglátogatásáért hűségpontokat kaptak a vásárlók, amit a telefonjuk GPS-ének segítségével rögzített a cég. Egy leleményes embernek sikerül a jeleket úgy manipulálni, hogy néhány hét alatt 71 üzletből több mint 40 ezer eurónak megfelelő pontot gyűjtött, amihez megközelítőleg 2,7 milliószor kellett volna ellátogatnia ezekbe az üzletekbe.
Ennél azonban sokkal súlyosabb következménye lenne, ha a légi- vagy tengeri közlekedésben okoznának zavarokat a támadások. Az európai légi biztonságért felelős szervezet, az Eurocontrol mintegy 800 GPS-problémát rögzített, melyek egy része valószínűleg szándékos támadás miatt következett be.
Szerencsére a kritikus közlekedési hálózatok rendszerei kialakításuk miatt elvileg védettek az ilyen támadásoktól. Mint egy a német Computerwochénak nyilatkozó biztonsági szakértő mondta, nem tudni olyan esetről, amikor ilyen támadás miatt következett volna be légi- vagy hajókatasztrófa. Az azonban figyelmeztető jel, hogy például Sanghaj közelében idén már ért GPS spoofing támadás szállítóhajókat. A támadók hamis GPS-jelekkel zavartak meg hajókat, ráadásul nagy területen és összehangoltan.
Az egész világgazdaságot átszövi...
A GPS spoofingnak minden olyan cégnél nagy a kockázata, amely tevékenységéhez, szolgáltatásaihoz a GPS-t és GNSS-t hasznája hely- vagy időmeghatározáshoz. A gyártóvállalatoknál, melyek így követik nyomon és koordinálják az üzem területén az alkatrészek, nyersanyagok és az alkalmazottak mozgását, a mezőgazdaságban, ahol a munkagépek mozgását, a vetőmag kihelyezését, a trágyázást, permetezést stb. optimalizálják.
De a weboldalak és a mobil alkalmazások is így gyűjtenek be helyadatokat szolgáltatásaik, tartalmaik személyre szabásához (gondoljunk például a Google Maps Felfedezés funkciójára, amely a közelünkben lévő éttermeket, benzinkutat, postát stb. mutatja). Sőt egyes helyeken még felhasználó-azonosításra is használják többtényezős azonosításban vagy a fizikai hozzáférés szabályozásában. Például egy kamion sofőrje nem tudja kinyitni a konténert, amíg el nem jut szállítmányával a célállomásra.
A GNSS fontos szerepet kap az autonóm járművekben, a drónokban, a kibővített valóság alkalmazásokban egyaránt. Sőt az egész pénzügyi világ ezt használja az óráik összehangolására.
Ezeknél az alkalmazási eseteknél egyelőre nincs alternatívája a GNSS-nek. Az Európai GNSS Ügynökség szerint jelenleg mintegy 6 milliárd GNSS-szenzor van a világon, így értelemszerűen a cégek erre építik a helymeghatározást (is) használó szolgáltatásaikat, és ez komoly gazdasági tényezővé tette a rendszert. A britek kiszámolták, hogy ha öt napra leállna a GNSS szolgáltatás, az csak az Egyesült Királyságban 5 milliárd font (kb. 2000 milliárd forint) kárt tudna okozni.
Egyelőre nincs megoldva a védelem
Bár a navigációs műholdak fejlődnek, és egyre komolyabb védelmet kapnak, manapság a legbiztosabb védelmet a gépi tanuláson alapuló biztonsági megoldások nyújtják, melyek akár proaktívan képesek kiszűrni a gyanús felhasználói viselkedést. Az USA belbiztonsági minisztériuma összeállított egy intézkedési csomagot, amellyel csökkenthetők a kockázatok.
Alapvető intézkedésként a kiberhigéniára való fokozott figyelmet javasolják (frissítések, patchek azonnali telepítése, vírusvédelem, tűzfal használata, jelszavak karbantartása, többfaktoros azonosítás stb.). Több javaslatot fogalmaznak meg az antennák elhelyezkedésére, használatára vonatkozóan: például az antennák elrejtését, csali, azaz nem működő, valamint bizonyos jelekre kihegyezett, blokkoló antennák használatát. De szerepel a javaslatok között olyan antennák tervezése is, amelyek a földfelszínről érkező jelekre kevésbé érzékenyek. Ha a GNSS-t időmérésre használják, érdemes tartalékrendszerként atomórát beállítani, amely a helyreállításig ki tudja váltani a GNSS-t.
A GPS spoofing megelőzésére vannak céleszközök, melyek azonnal jelzik az ismeretlen forrású adatforgalmat vagy a hely- és időadatok váratlan változását. Egyes antennarendszerek pedig szoftveresen képesek azonosítani és kiszűrni, ha a jel nem egy műholdról, hanem egy földi adóról érkezik.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak