编号SL-14RB：浅谈卫星安全の第三弹

Security Research of Satellite

擦，听说由于前篇软文，偶已被大浦洞锁定了…….必须收尾了，后面看来要从硬技术软文转下小清新文艺路线~(￣▽￣)~

——————————————————————

4.4    干扰卫星频段/阻断卫星信号
   攻击者可以先根据卫星的发射时间、运载火箭及卫星编号三种方式来查询卫星的相关参数。然后再锁定卫星轨道、当前位置，并通过轨道预测某一个时间段卫星到达监测/接收区域上空的具体方位和角度，这样就能够在一定区域内干扰该卫星的正常频段，导致信号阻断无法接收或者接收数据不完整甚至错误。当然，超远距离和超大范围的干扰需要的性能和功率要求，会达到一个非常夸张的数值，所以一般而言，还是很难实现的。
   下图是国外研究员发布的中国军队PLA在太空军备方面的攻击预测与防御措施，其中攻击方面上，包括GPS信号干扰（Jamming）、使用携带战术弹头的多级火箭主动拦截（Tinetic Kill）、路基激光照射破坏卫星（Lasers）等。在防御措施方面则给出了增加日本盟友发射微型卫星、增加跳频、部署路基雷达系统实现早期预警等。
4.5    卫星数据解码
   CSP协议（立方体卫星空间协议）最初由丹麦奥尔堡大学AAUSAT3团队开发，是一个开源、轻量的网络层协议，其工作方式类似于因特网的TCP/UDP 协议。CSP协议中不同的设备、不同的应用利用不同的节点号（类似与IP地址）与端口号，例如，某卫星的计算机A为16号节点，测控收发信机B为 19号节点，而地面站的Web节点（5号）使用16号端口接收遥测数据。
   如果我们收到了一个来源为16号节点、目的为5号节点的16号端口的数据包，那这 一定是计算机发送至地面Web节点的遥测包。Web节点对这个数据包进行解析处理后，就能够在卫星的遥测信息实时发布页面中显示出来。为了使CSP包适合 无线信道传输，需要对其进行一定的处理。
1、“紫丁香”微纳卫星项目
    举一个分量比较重的栗子， “紫丁香”微纳卫星项目是由哈尔滨工业大学卫星技术研究所牵头研制的系列微纳卫星项目。项目自2011年开始，目前共有紫丁香一号、紫丁香二号两颗卫星在研。从学生培养角度出发，项目开发团队采用以学生为主、教师为辅的组成结构，同时通过哈工大航天学院和哈尔滨工业大学业余无线电俱乐部向项目团队培养输送成员。项目在完成学生培养的同时也积累一定的经验来探讨微纳卫星的应用前景。
   紫丁香2号卫星是哈尔滨工业大学学生团队研制的一颗技术试验纳卫星，质量12.5 kg，搭载了FPGA飞行软件试验平台、宽频接收模块、多模式业余无线电转发器、长波红外相机四个试验载荷，已于2015年9月搭载我国新型运载火箭一箭多星发射，进入524 km高度的太阳同步轨道。

1）卫星跟踪解码
   紫丁香2号卫星使用了CCSDS标准的级联码，包括码率1/2、约束长度7的卷积码与截短的(223, 255)里德-所罗门码，这套编码方案最早用于NASA的旅行者号星际探测器，对于热噪声等产生的随机错误和遮蔽、多径等产生的突发错误均有较好的纠正能 力。除信道编码外，用于确定帧起始位置的同步字（ASM）和用于将数据随机化的扰码也采用了CCSDS标准。
   紫丁香2号卫星的遥测主要使用RRC-BPSK与GFSK调制，辅以CCSDS标准的信道编码，性能较传统的1200 AFSK、9600 FSK AX.25数据包有较大提升，但原则上需要使用SDR进行解调。当前版本提供FCDPP、USRP及RTL-SDR支持，也可经简单修改以适用于其它硬件。
   遥测解调软件基于GNU Radio开发，遵守GPL协议进行开源，同时提供了配套的发射模块等辅助工具，方便爱好者进行试验。软件提供OOT模块源码和LiveCD两种形式。其中，OOT模块适用于具备GNU Radio环境的用户，LiveCD则可在U盘或虚拟机中运行以便于使用。如下图所示是在LiveCD里内置的卫星轨道跟踪工具gpredict运行效果，这款工具主要还是依托Orbit的数据，下图这里显示的是紫丁香2号（LILACSAT2）的实时参数跟踪显示。

   卫星的下行接收机项目组测试了USRP B210、FunCube Dongle Pro Plus和RTL-SDR电视棒，其中RTL-SDR电视棒非常适合新接触SDR的朋友体验使用。较新的方案使用了RTL2832+R820T2方案，在稳定性和噪声性能上有所提升。看到支持RTL-SDR，我做了些简单的测试，不过由于没有改装天线，所以接收效果不好。后续有机会调试完成后，会将完整的追踪和调试记录整理发出。

   解码软件基于GNU Radio开发，项目组在github提供了OOT模块源码下载，还提供了环境配置完整的LiveCD ISO镜像。该LiveCD可以使用UltraISO等工具烧录到U盘中启动，也可以在虚拟机中运行。
   卫星的跟踪可使用LiveCD中附带的gpredict，也可使用Orbitron、HRD等PC端软件，以及HamSatDroid、Satellite AR和DroidSat等手机软件。不过强调一下，必须先更新最新的TLE数据。
4.6    下载卫星遥感数据
   卫星爱好者可以通过自制的业余卫星自动追踪云台来跟踪锁定卫星，在通联成功后，就可以通过手台解码信号抄收卫星云图数据，如下图为紫丁香2号卫星拍摄的红外遥感影像数据。

下图为紫丁香官网上提供的“紫丁香2号”卫星实时遥感数据。

4.7    劫持卫星窃取数据
   就拿年初卡巴斯基爆出的Turla APT组织通过利用卫星通信中固有的安全缺陷来隐藏自己的位置和实施间谍活动为例，这个很有代表性。引用些资料如下：
   卫星通信主要应用在一些网络不稳定、网速过慢或者没有网络的偏远地区。其中最普遍、最便宜的卫星网络是通过所谓的仅下游（downstream-only）连接的。用户PC端的请求会通过常规线路（有线或者GPRS连接）进行通信，且所有流入的流量均来自卫星。如此一来，用户就可获得一个相对较快的下载速度。从安全角度来看，卫星通信的最大缺点就是返回PC端的流量是非加密的，导致任何用户均可劫持这些流量。
   为了攻击卫星网络链接，无论是卫星链接的合法用户还是攻击者自身的卫星天线都要指向特定的用于广播流量的卫星。攻击者会利用卫星网络流量明文传输这一漏洞来隐藏自己的C&C（Command-and-control）流量，具体的方式如下：
1）通过监听卫星中的downstream来识别当前卫星网络用户的活跃IP地址；
2）然后在用户不知情的情况下，选择一些当前活跃的IP地址来掩盖其C&C服务器真实IP地址；
3）被Turla感染的设备会收到一个指令：发送所有数据到被选中的IP地址上。数据先通过常规线路发送到卫星系统，然后再由卫星系统发送给选中IP地址的用户；
4）合法用户会判断为垃圾而丢弃这些数据，但攻击者会从下游卫星链接处重新收集起这些数据。

  到年初卡巴的报告发布前，Turla APT组织已经成功入侵了全球45个国家近百个电脑系统。Turla攻击的国家包括哈萨克斯坦、俄罗斯、中国、越南、美国等，入侵的行业有政府机构、大使馆、军事、教育、科研、制药公司等。

   更多细节可以参看卡巴斯基的官方报告，这里就不再深入。
4.8、二次元恐怖袭击假想
   攻击卫星导致的后果，在日本科幻漫画家太田垣康男的2006年连载漫画《MOONLIGHT MILE月亮的距离》中，已经描绘了这样的场景：未来的某一天，在隐蔽的地下基地经过数年模拟航天训练的高科技民族极端恐怖分子，搭乘航天旅游飞机，在飞出大气层后发动航空器劫持，然后通过太空行走对印度的关键通信卫星发起自杀式人肉炸弹袭击，直接导致印度和巴基斯坦进入战争状态，然后再使用引爆“脏弹”（黑市流入小型核武器）的方式，最终引发印度与巴基斯坦的核战争，并最终导致全球核污染。以下为相关漫画截图，仅作思路参考。



   再次注明：我也是日本太田垣康男的宏伟宇宙开发漫画《MOONLIGHT MILE月亮的距离》的忠实粉，由于该漫画详细地描述了大量中、日、美三国未来的太空军备竞赛，有制造新冷战思维的嫌疑，动画版本在制作发行两季后已被日本政府叫停，漫画版本也在连载23卷本后，在描述恐怖袭击引发的核战争结束后的新世界建设时被暂停（难得当年我跟了那么久……），仅以本文向作者致敬。 

补充一下真实世界的新闻：2014年6月，美国空军与著名的洛克希德·马丁公司（LMT公司）签署了一笔高达914万美元的合同，以建立一个能够跟踪小到棒球状物体的地基雷达系统，并期望这会有助于识别那些针对卫星的攻击行为。“破坏他国的卫星是战争行为，”工作在兰德公司帕迪研究生院的工程学教授Dave Baiocchi表示，“所以你需要知道在那里到底发生了什么事。”

0x06    小结
   现在，随着无线空间数据搜集渠道与能力的增加，在庞大交错又复杂的全球空地一体网络监控下，各大国已经很难隐藏掉发射卫星的行为，以及卫星升空后的轨道参数及用途，这使得更多的机构和人都能够捕捉到卫星的位置。而单纯从传统安全角度考虑，对于卫星安全，尤其是固件、协议和信号层面，一旦出现严重安全问题，对于全球卫星客户来说，最坏的一个消息就是，很可能由于无法更新设备上的固件，而根本无法解决这些安全问题。

最后，附上一张今年4月在QCon北京会议上演讲PPT的截图作为总结。

    本文关于卫星基础参数方面的知识全部来自互联网的开放资料，在此对这些先驱者们一并表示感谢。附上一些资源，也许有人会喜欢（你妹哟，怎么还不能原创打赏T_T ）。
1）COSPAR ID检索，该标识符的编录工作由美国国家航空航天局（NASA）下辖的国家太空科学数据中心（NSSDC）所管理。可通过下列网站进行查询：
http://nssdc.gsfc.nasa.gov/nmc/SpacecraftQuery.jsp
2）哈尔滨工业大学的“紫丁香”微纳卫星项目：
官网：http://lilacsat.hit.edu.cn
遥测数据解析可前往：http://lilacsat.hit.edu.cn/lilac_back/Dashboard.html
3）卡巴斯基的Turla APT组织分析报告：
https://blog.kaspersky.com/turla-apt-exploiting-satellites/9771/

……END

——————————————————————-

只做有趣的研究，只做原创，且不限于技术

一切不基于红包的非授权转载都是耍流氓:）

——————————————————————-

长按二维码，关注公众号，翻看前篇：

《BCBP登机牌安全研究》系列

《编号SL-14RB：浅谈卫星安全》系列

本文始发于微信公众号（全频带阻塞干扰）：编号SL-14RB：浅谈卫星安全の第三弹