太空科技发展快速,卫星通讯愈来愈普及,太空中的资讯安全也逐渐受到重视,今年台湾资安大会邀请不少专家来分享卫星通讯面临的资安威胁及攻击,国家资通安全研究院通报应变中心助理工程师Sol Yang从美国举办的卫星通讯相关的CTF竞赛,剖析太空安全相关的资安威胁及潜在风险。
一般而言,卫星通讯涵盖三个部分,地面站、通讯、卫星。地面站负责控制、监控卫星,通讯则包括上行链路(Uplink)及下行链路(Downlink),卫星方面则包括卫星本体及酬载,美国在太空卫星发展较早,因此很早便开始重视太空资讯安全,美国政府在2020年以Hack A Sat为主题,举办以太空安全为主题的CTF资安竞赛,至今已举办4届竞赛,竞赛的题目可分为六大类,涵盖卫星通讯的三个部分。
从美国卫星安全竞赛看威胁
Sol Yang指出,美国空军在2020年举办首届Hack A Sat竞赛,为以太空安全为主题的CTF抢旗赛,其概略的流程是,参加者设法窃取Cookie,并取得管理员权限后,再骇入地面站使用的开源控制软体COSMOS,从中辨识并移除恶意程式,再以卫星上的感测器资料,从中分析地面站和卫星间的通讯、协定结构,再窜改内容进行注入攻击,进而控制卫星。竞赛会模拟在伺服器上,上面的应用程式存在Buffer Overflow漏洞,让参赛者设法拿到控制权取得分数,最后再测试美国NASA开源的cFS飞行软体。往后3届竞赛都采用类似的逻辑。
Sol Yang表示,美国空军举办卫星安全竞赛的目的是推动Security by Design,在设计卫星之时就基于安全设计,和一般电脑能够事后执行安全更新不同,卫星在太空环境作事后修补成本相当高,因此在设计卫星时就需要确保是安全的,订立标准确保卫星通讯的安全。
「透过安全设计,降低事后维护的需要,换言之,事前的预防是很重要的」,Sol Yang说。
相较于第1届仍偏向IT设备的攻击,第2届卫星资安竞赛中则涵盖卫星轨道力学的攻击,轨道力学包括卫星的TLE(轨道资料)轨道位置,预测卫星飞行的轨迹,还有四元数(姿态资料),例如控制卫星姿态,太阳面板是否面向太阳,第2届竞赛同样使用平面卫星让参赛者解题,但是加入NASA开源的NASA 42模拟器。
第3届竞赛受到COVID-19疫情影响,为避免面对面交流的群聚传染风险,完全采用数位孪生方式进行,搭配开源软体如开源地面站控制软体COSMOS、飞行软体cFS等等。参赛者可以选择破解加密的地面控制站,追踪TLE卫星轨道位置、控制卫星四元数,遥控太阳能板是否面向太阳,以获得更好的充电效果。其他题目则有前2届就有的注入攻击、COSMOS指令等等。
2023年举行的第4届竞赛,首次发射真实的低轨卫星Moonlighter作为CTF竞赛之用,这颗低轨卫星采用RISC-V处理器核心、ZTEX FPGA,搭配NASA cFS飞行软体及Linux作业系统,参赛者不再使用COSMOS软体,该届竞赛要求参赛者写控制脚本,控制卫星在太空中拍摄照片。
资安威胁涵盖卫星控制、通讯内容窃取
根据几届竞赛内容,Sol Yang归纳卫星安全竞赛,对卫星通讯的资安威胁包括Space OSINT、Space Math及Space Packet三类。
其中的Space OSINT是由主办方提供一些卫星元件资料,让参赛者设法搜寻找出元件、供应商的相关资讯,作为后续修复或攻击卫星的参考;Space Math则是根据主办单位提供的TLE,计算卫星在未来某一个时间的轨道位置;Space Packet则是让参赛者根据取得的感测器资料,分析其中使用的通讯协定,进而窜改封包,发出控制命令给卫星。
Sol Yang表示,首先是Space OSINT方面,卫星包含的重要子系统及元件,其中比较重要的是AD&C、C&DH、TT&C,相应产生的资安威胁,以AD&C为例,它是用来控制卫星面对的角度方向,由于卫星的能源来自太阳能面板,太阳能面板必需正确面向太阳,否则将影响卫星产生能源的效率,也是骇客攻击卫星的一个面向;C&DH则负责处理控制及资料处理,骇客可利用Command Injection或是False Data Injection造成卫星出现异常;至于TT&C则是天线追踪及控制,当地面站与卫星间的上下行链路没有良好的加密保护,可能遭骇客窃听或干扰。
在竞赛中,Space Math多由主办单位提供两行TLE资料,参赛者可以根据两行资料的格式,从中得到卫星名称、编号、设计者、发射时间等等资讯,搭配特殊的工具软体输入TLE数据,得以预测卫星的轨道位置。
Space Packet主要和卫星通讯有关,Sol Yang指出,和工控安全的攻击手法类似,包括窜改资料及控制命令,发动DoS攻击,如果通讯内容没有妥善的加密保护,可能遭骇客窃听。
Sol Yang介绍卫星安全竞赛主办方提出的防御机制,他认为现今卫星通讯所面临的资安威胁和IT、OT相似,像是因为端点防护不足,需要加解密保护资料传输,衍生出Key的管理议题,包括如何产生及分发。另外,为侦测卫星是否被骇,需要掌握威胁情资及恶意程式分析。
鉴于卫星安全更偏重在安全设计,目前国际上已有一些政府或相关组织提出卫星的安全标准,Sol Yang建议外界可以参考这些安全标准,例如美国政府颁布的SPD-5,以及NASA提出的太空资产保护标准,还有其他国际卫星航太组织所提出的各类卫星安全标准等等。