Информационная безопасность*, Беспроводные технологии*, GPS*, Блог компании Хакспейс Neuron

Династия GPS-спуферов за работой

Я писал, как угоняли дронов, «взламывая» их GPS, и наткнулся на замечательного персонажа — Тодда Хампфриса — который не только воспроизвел «угон беспилотника», но и побудил студентов «угнать» яхту.

GPS Spoofing
Spoofing атака на GPS — атака, которая пытается обмануть GPS-приемник, широковещательно передавая немного более мощный сигнал, чем полученный от спутников GPS, такой, чтобы быть похожим на ряд нормальных сигналов GPS. Эти имитировавшие сигналы, изменены таким способом, чтобы заставить получателя неверно определять свое местоположение, считая его таким, какое отправит атакующий. Поскольку системы GPS работают измеряя время, которое требуется для сигнала, чтобы дойти от спутника до получателя, успешный спуфинг требует, чтобы атакующий точно знал, где его цель — так, чтобы имитирующий сигнал мог быть структурирован с надлежащими задержками сигнала.

Атака спуфинга GPS начинается, широковещательно передавая немного более мощный сигнал, который указывает корректную позицию, и затем медленно отклоняется далеко к позиции, заданной атакующим, потому что перемещение слишком быстро повлечет за собой потерю сигнальной блокировки, и в этой точке spoofer станет работать только как передатчик помех. Одна из версий захвата американского беспилотника Lockheed RQ 170 в северо-восточном Иране в декабре 2011, это результат такой атаки.

Spoofing GPS был предсказан и обсужден в сообществе GPS ранее, но никакой известный пример такой вредоносной атаки спуфинга ещё не был подтвержден.

Под катом несколько полезных видео со сценариями атак на GPS, анализ криптографических решений, используемых в навигации, обнаружители глушилок, спуферов, ну и обзор нескольких портативных GPS-глушилок, которые я поразбирал в Хакспейсе.

Выступление на TED главного GPS-угонщика, короля спуфинга.



Кто управляет дроном: вы или хакер?


Студенты охотятся не на бабушек-процентщиц а на многомиллионные яхты

29 июля 2013 студентам из университета Остина, Техас, удалось отклонить от курса 213-футовую яхту(стоимостью $80 млн) с помощью метода GPS-спуффинга.

Основным компонентом спуфера стал имитатор GPS-сигналов. Эти устройства выпускаются серийно и предназначаются для тестирования навигационных систем. В большинстве стран они продаются свободно и стоят от тысячи долларов.
Сам по себе такой имитатор GPS сигналов — маломощный и действует в радиусе десятка метров. Поэтому вторым компонентом спуфера стали усилители, повышающие мощность ложного сигнала GPS в десятки раз.

Во время эксперимента всё оборудование атакующей стороны находилось на борту яхты, совершавшей плавание в Средиземном море у берегов Италии. Образно говоря, она была погружена в облако ложных сигналов GPS, мощность которых была больше настоящих.

На первом этапе Тодд запустил процесс дублирования настоящих сигналов со спутников, добиваясь их полного соответствия по учитываемым характеристикам. Добившись слияния обоих сигналов, он немного повысил мощность тех, которые отправляет спуфер. Навигационная система стала считать их основными и отфильтровывала настоящие данные со спутников как помехи. Получив контроль, Тодд стал постепенно искажать вычисляемые сведения о местоположении, уводя яхту севернее заданного курса.

Капитан яхты убедился в действенности методики, когда отклонение превысило три градуса. После чего Тодд сыграл завершающий аккорд. Изменив данные для определения высоты над уровнем моря, руководитель группы смог заставить навигационный компьютер яхты «считать», что судно находится под водой.

Бывший наставник Тодда, профессор Корнеллского университета Марк Псиаки (Mark Psiaki), предложил схему защиты от GPS-спуфинга. Сейчас вместе с аспирантами он уже реализовал описанную идею. Его группа создала модифицированный GPS-приёмник с антенной, меняющей своё положение с определённой частотой. Поскольку спутники находятся на значительном удалении друг от друга, а ложные сигналы приходят из одного близкого места, фаза несущего колебания в для такого приёмника будет меняться по-разному, что и позволит распознать обман.

Как сделать портативный GPS-спуфер самому (цена около $2 тыс)

Assessing the Spoofing Threat: Development of a Portable GPS Civilian Spoofer





В этой же публикации автор предлагает 2 варианта защиты от спуфинга: Data Bit Latency Defense и Vestigial Signal Defense
 

Еще полезные видео

Тодд Хампфри разработал бюджетный вариант комбинированного с видеокамерой GPS сантиметровой точности

[источник]

Самое свеженькое видео июня 2015 года, где Тодд рассуждает о будущем GPS (есть кадры из его лаборатории)


Spoofing, Detection, and Navigation Vulnerability (18 сентября, 2014)


В этой передаче Тодд рассматривает несколько сценариев безопасности GNSS

Security For and From GPS


Detect and Locate GPS Jamming: Provide Actionable Intelligence

 

Портативные GPS-глушилки

Увы, настоящий трекер/маячок я не успел найти, поэтому тестил на смартфоне. Каждый из этих приборов «валил» спутники на расстоянии более 15 метров в помещении.
 

 

Статьи на Хабре про безопасность GPS

Из публикации на Хабре (2011 год):

По оценке журнала GPS World, сейчас в мире находится в использовании более миллиарда приёмников GPS, и более 90% из них используются только для получения сигналов точного времени.

Интересно, что энтузиасты уже создали работающие образцы нового поколения таких устройств, способных не просто глушить, но искажать сигналы GPS. Мошенники могут использовать это с целью осуществления неких крупных афёр (например, все заявки на фондовой бирже маркируются сигналами точного времени, так что саботаж в сети конкурента позволит манипулировать котировками акций).

ФБР по решению суда отключило 3000 GPS-жучков, теперь не может их найти

d В 2012 году Верховный суд США признал неконституционным использование следящих GPS-устройств без судебного ордера и постановил прекратить такую практику. Поскольку решение суда вступило в силу немедленно, Федеральное бюро расследований было вынуждено в тот же день отключить приём сигнала от около 3000 активных GPS-жучков.

Устройство GPS-жучка

Не знаю как в России, но в США граждане периодически находят под днищем автомобиля следящие GPS-устройства, установленные спецслужбами. В прошлый раз, когда о таком стало известно прессе, студент арабского происхождения по неопытности отнёс устройство «производителю», не успев его хорошенько исследовать. Аналогичный прибор на своём автомобиле несколько лет назад нашла активистка за права животных Кэти Томас. Она отказалась вернуть его ФБР, а сейчас осмелилась отдать девайс на изучение.

Где моя повозка, сударь? Безопасность GPS-трекинга

Если атакующий хочет получить большое количество данных о передвижении различных объектов, то ему нужно скомпрометировать один из публичных серверов для мониторинга. Как показывает практика, это совсем не сложно, ведь большинство этих веб-сервисов содержат вполне тривиальные уязвимости из списка OWASP TOP 10

Тесты помех в лаборатории GATE
Немцы заморочились и масштабно подошли к проблеме GPS-глушилок.

В результате использования автомобильных подавителей происходит полное разрушение GNSS-сигналов не только в том автомобиле, где он находится, но и в близко расположенных. Это создает реальную угрозу будущему интеллектуальных транспортных систем.

На рисунке показана тестовая лаборатория, где видны передатчики, мониторинговые станции и центральный пункт GATE. Тестирование помех GNSS-подавителей проводилось в зоне, близкой к этому центральному пункту.

Для противостояния такой угрозе Университет Федеральных Вооруженных Сил, расположенный в Мюнхене, Германия, приобрел несколько автомобильных подавителей для проведения лабораторных анализов и тестов в лаборатории GATE (Galileo Test Range), в которой симулируются реальные условия. Измерения проводились с помощью экспериментального программного приемника, разработанного в Институте Космических Технологий и Приложений. Приемник позволяет вести запись отсчетов промежуточных частот и анализировать влияние помех на приемник.

Цель исследования — понять как работает глушилка, чтобы разработать контрмеры. Они накопали кучу данных и сделали серьезную аналитику.


Вывод был такой:

Анализ показал, что дальность действия подавителя очень сильно зависит от архитектуры приемника. При каждом сценарии подавители оказывали сильное воздействие. Необходимо принимать меры против использования автомобильных подавителей. Для обвинений в использовании подавителей необходимо размещать детекторы. Эта мера также позволит подсчитать количество используемых подавителей. Деградация GNSS-позиционирования представляет собой угрозу использованию интеллектуальных транспортных систем, предназначенных для повышения безопасности вождения. Поэтому, предотвращение и смягчение эффекта помех должно стать объектом исследований для разработчиков систем автомобильной связи. С помехами в GNSS-системах необходимо бороться точно так же, как и с прочими опасностями на дорогах.

Analysis, Detection and Mitigation of InCar GNSS Jammer in interference in intelligent transport systems (PDF)
Car Jammers: Interference Analysis (перевод на русский).

Так что, если вам нужно угнать автомобиль или предотвратить использование GPS на управляемой ракете, избавиться от геометок на фотографиях, то GPS глушилки — самое то.

 

Очень странно, что на хакерских конференциях было полтора выступления по взлому дронов.
Я тут подсуетился и сделал подборку всех доступных случаев взломов. Как военных, так и гражданских.

Некоторые факты:

• На сегодняшний день более 70 стран выпускают беспилотные летательные аппараты (дроны) для нужд армии, полиции, МЧС и т.д.
• На eBay с марта 2014 по февраль 2015 продали 127,000 дронов
• У вояк сейчас около 20.000 дронов

10 реальных и 2 придуманных случаев хакинга дронов. (Буду благодарен за дополнения)

2009

Место: Ирак, Афганистан
Модель: Predator unmanned aircraft (US$4.03 million, 2010)
Взломщик: «иракские хакеры»
Уязвимость: канал передачи данных с БПЛА в наземный центр управления


Wall Street Journal

Впервые американские военные в Ираке столкнулись с видеоперехватом в 2008 году, когда был взят в плен повстанец, на ноутбуке которого хранились изображения, полученные с американских беспилотников. Летом 2009 года также были обнаружены компьютеры с несколькими часами видеозаписей с БПЛА.

Как отмечает газета, со ссылкой на данные старших военных чинов и представителей разведки, повстанцы использовали для видеоперехвата незащищенные каналы связи с БПЛА. При этом они использовали программное обеспечение, такое как, например, SkyGrabber, которое можно купить через интернет всего за 25,95 доллара.

SkyGrabber, согласно описанию российской компании-производителя SkySoftware, «принимает и обрабатывает трафик, передаваемый со спутника, извлекает из него файлы и сохраняет их на ваш жесткий диск в соответствии с настроенными фильтрами».

Новость на Ленте.
 

2011

Место: Иран
Модель: RQ-170 Sentinel
Взломщик: Персидские специалисты
Уязвимость: GPS-спуфинг
RQ-170 Sentinel

Кто ж его посадит? Он же памятник

Иран представил средствам массовой информации пресс-релиз, в котором говорилось об успешном перехвате американского беспилотного летательного аппарата типа RQ-170 Sentinel. Среди прочих версий о перехвате аппарата фигурировала и та, что касалась использования специальной электроники, заглушивший сигнал спутников системы GPS и подменившей его своим. В результате этих действий беспилотник в автоматическом режиме, ориентируясь по глобальной системе навигации, начал возвращение домой. Поскольку истинный сигнал спутников был заглушен ложным, то RQ-170 сел на иранский аэродром, приняв его за свой «родной». Однако это только версия, хотя и достаточно правдоподобная. Первые сообщения о таком способе перехвата поступили вскоре после публикации пресс-релиза и делались они со ссылкой на некоего иранского инженера, якобы имеющего самое прямое отношение к операции по перехвату.


 

Иранцы непрерывно троллят американцев. Сначала они хотели массово продавать игрушечные RQ-170 Sentinel в масштабе 1:80, а в в 2014 запилили полноразмерную копию

Статья на Хабре с обсуждением возможности взлома GPS системы RQ-170

Новость на Ленте.
 

2012

Место: Москва, PHD
Модель: AR.Drone
Взломщик: Сергей Азовсков aka LAST_G
Уязвимость: уязвимость мобильного приложения


По условиям конкурса, организаторы запустили миниатюрный летательный аппарат, управляемый со смартфона через сеть Wi-Fi. Участникам было предложено с помощью собственных знаний в области программирования подключиться к дрону, лишить организаторов возможности управлять устройством и переключить управление на свой смартфон. По словам Азовскова, процесс лишения организаторов прав управления дроном не вызвал серьезных трудностей.
 

«Проблемы возникли с мобильным приложением, которое используется для управления дроном. Я его скачал, установил, а потом выяснилось, что оно работает с ошибками, которые пришлось устранять», — рассказал Сергей Азовсков корреспонденту РИА Новости.

 

---

Место: Техас
Модель: Вертолет для полива
Взломщик: Todd Humphreys
Уязвимость: GPS-спуфинг

В 2012 году американскими учёными из Техасского университета в Остине была доказана практическая возможность взлома и перехвата управления БПЛА путём GPS-спуфинга.
GPS-спуфинг можно провести только для тех аппаратов, которые используют незашифрованный гражданский сигнал GPS.
(+ 1000 долларов ученым)

Spoofing атака на GPS — атака, которая пытается обмануть GPS-приемник, широковещательно передавая немного более мощный сигнал, чем полученный от спутников GPS, такой, чтобы быть похожим на ряд нормальных сигналов GPS. Эти имитировавшие сигналы, изменены таким способом, чтобы заставить получателя неверно определять свое местоположение, считая его таким, какое отправит атакующий. Поскольку системы GPS работают измеряя время, которое требуется для сигнала, чтобы дойти от спутника до получателя, успешный спуфинг требует, чтобы атакующий точно знал, где его цель — так, чтобы имитирующий сигнал мог быть структурирован с надлежащими задержками сигнала. Атака спуфинга GPS начинается, широковещательно передавая немного более мощный сигнал, который указывает корректную позицию, и затем медленно отклоняется далеко к позиции, заданной атакующим, потому что перемещение слишком быстро повлечет за собой потерю сигнальной блокировки, и в этой точке spoofer станет работать только как передатчик помех. Одна из версий захвата американского беспилотника Lockheed RQ 170 в северо-восточном Иране в декабре 2011, это результат такой атаки.

Spoofing GPS был предсказан и обсужден в сообществе GPS ранее, но никакой известный пример такой вредоносной атаки спуфинга ещё не был подтвержден.

Спуфинг университетского вертолета:

 

2013

Модель: AR.Drone
Взломщик: Сэми Камкар (Samy Kamkar)
Способ: Aircrack-ng, на дрон установлена Raspberry Pi, WiFi передатчик и приемник:



В своей видеозаписи Камкар рассказал, что использовал утилиту Aircrack-ng для взлома беспроводной сети, а квадрокоптеры в сети удавалось обнаружить благодаря особенностям их MAC-адреса. Все квадрокоптеры этого типа имеют однотипные адреса, которые и позволяют отличить их от иных беспроводных устройств.
 

Камкар в своём блоге пишет:
«Как весело было бы захватить дрона, доставляющего посылки Amazon, или любого другого дрона и сделать из них свою собственную зомби-армию. Великолепно.»

SkyJack мониторит MAC-адреса Wi-Fi сетей в зоне действия сигнала, а после блокирует их с помощью своего дрона и отключает от iOS или Android устройства, с которого осуществлялось управление. После этого хакер может управлять направлением, скоростью и высотой полёта дрона, а также получать изображение с камер.

Defcon 21 — Phantom Network Surveillance UAV / Drone
Модель: Phantom
Взломщик: Ricky Hill
Способ: Wispy spectrum analyzers и WiFi Pineapple:

 

2014

Место: США
Дроны: Parrot AR.Drone и DJI Phantom
Взломщики: ведущие youtube канала Hack5
Способ: WiFi Pineapple

WiFi Pineapple — это продукт предприимчивых американцев, которые заказали у китайцев Wi-Fi роутер с двумя беспроводными интерфейсами и одним проводным, написали под него прошивку на базе OpenWRT и напичкали утилитами для взлома\перехвата и анализа трафика.

Ведущие прикрутили WiFi Pineapple к коптеру DJI Phantom а затем гонялись за AR.Drone и вырубали его.



Объясняет:


 

---

Система анти-дрон


Провалившийся проект на Kickstarter

Personal Drone Detection System мог бы защитить вас от шпионажа соседей при помощи дронов.

Оборудование-локатор засекает приближающееся к вам летательное устройство в радиусе 15 м с диапазоном фиксируемых рабочих частот от 1 МГц до 6,8 ГГц. По внешнему виду система больше всего напоминает большой Wi-Fi-роутер (взаимодействуют отдельные устройства Personal Drone Detection System между собой именно при помощи технологии Wi-Fi) и несколько условных «раций», каждая из которых и является тем самым датчиком обнаружения злобных жужжащих аппаратов. Последние обнаруживаются системой в качестве перемещающихся в пространстве источников электромагнитного излучения.

Главный модуль управления способен взаимодействовать с «портативными локаторами» на дальности до 61 м. Вам остаётся лишь расставить по периметру дома два датчика, задействовать командный контроллер и синхронизироваться с модулем управления системы «анти-дрон». О приближении беспилотника вас уведомит соответствующий звуковой сигнал и отправленное уведомление на ваше личное мобильное устройство.

«Автобаза»
Русские «глушилки». По некоторым данным они засветились при перехвате беспилотников.



Помимо окон ПВХ и светильников, «Квант» выпускает станции мощных шумовых помех, наземные станции активных помех и наземные комплексы исполнительной радиотехнической разведки «АВТОБАЗА».