image

Интерактивная карта инцидентов ГНСС-спуфинга. Была раньше здесь, теперь ее нет.

  • 96% специалистов по cybersec игнорируют проблему спуфинга;
  • в 2012 году стоимость атаки была $100 000, в 2022 — всего $500;
  • в 2018 году в продажу поступил GPS Spoofer за $5;
  • по роликам на youtube (или гайдам с github) любой человек может запустить свой спуфинг за 15 минут;
  • с железом на $1000 можно положить навигацию по всей Москве;
  • с 2016 по 2018 обнаружено 9883 инцидента с 1311 судами в Геленджике;
  • 85% краж автомобилей происходит с джаммерами;
  • 680 форков на GitHub для подделки сигналов GPS;
  • каждый год продается 450 000 серверов времени, в мире их уже более 3 млн., от каждого тайм-сервера зависит кусочек критической инфраструктуры.

Термины


GPS, система глобального позиционирования — спутниковая система навигации, обеспечивающая измерение расстояния, времени и определяющая местоположение во всемирной системе координат WGS 84. Позволяет почти при любой погоде определять местоположение в любом месте Земли (исключая приполярные области) и околоземного космического пространства.

GNSS, ГНСС — спутниковая система навигации — система, предназначенная для определения местоположения (географических координат) наземных, водных и воздушных объектов, а также низкоорбитальных космических аппаратов. Спутниковые системы навигации также позволяют получить скорость и направление движения приёмника сигнала. Три спутниковые системы обеспечивают полное покрытие и бесперебойную работу для всего земного шара — GPS, ГЛОНАСС, «Бэйдоу», остальные — DORIS, Galileo

SDR, Программно-определяемая радиосистема — радиопередатчик и/или радиоприёмник, использующий технологию, позволяющую с помощью программного обеспечения устанавливать или изменять рабочие радиочастотные параметры, включая, в частности, диапазон частот, тип модуляции или выходную мощность, за исключением изменения рабочих параметров, используемых в ходе обычной предварительно определённой работы с предварительными установками радиоустройства, согласно той или иной спецификации, или системы.

HackRF One — это устройство, предназначенное для энтузиастов и радиолюбителей, увлеченных изучением радиосигналов, и всего, что с этим связано.

Jammer (джаммер, глушилка) — устройство для умышленного глушения, блокирования или вмешательство в беспроводную связь.

Spoofing (спуфинг) — ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества.

image
Как профессионалы видят спуфинг в реальном времени

image

Так выглядит обстановка во время «политического кризиса». Более 30 часов GPS и GLONASS спуфинга за 2 дня

Типы атак


Атаки по сложности, стоимости и эффективности можно разделить на 4 уровня:

  • Асинхронные.
  • Синхронные.
  • Синхронные с несколькими передатчиками.
  • Синхронные с несколькими передатчиками на дронах.
  • Повторители.

GPS спуфинг при помощи HackRF One


image

Такая конфигурация генерирует только сигналы GPS. Если ваш приемник поддерживает ГЛОНАСС и BeiDou, такой спуфинг невозможен. Galileo тоже уязвим, потому что Galileo и GPS используют один и тот же радиодиапазон. А фальшивый сигнал GPS заблокирует прием сигналов Galileo.

Но иногда мощность поддельного GPS-сигнала настолько высока, что он перегружает входной канал GNSS-приемника, и он уже не может воспринимать ГЛОНАСС и Beidou.

image

Стоимость атаки: зависит от железа: $320 за HackRF One, $200 за ADALM-Pluto, $480 за bladeRF, $315 за LimeSDR.

Время атаки: От 15 секунд до 5 минут, в зависимости от встроенных алгоритмов настройки автогенератора. Иногда автогенератор перенастраивался на ложный сигнал GPS всего через 15 секунд после начала атаки.

Результат: Если сигнал спуфинга достаточно сильный, GNSS-приемник сервера времени теряет исходные сигналы, прекращает предоставление навигационного решения и переходит в режим поиска. Сервер времени сообщает об ошибке и переходит в режим удержания. Примерно через 10-30 секунд приемник GNSS находит ложные сигналы и выдает ошибочные данные. Сервер времени настраивает встроенный опорный генератор в соответствии с ложными сигналами GNSS.

Дистанция атаки: примерно 50 метров, сильно зависит от условий распространения сигнала. Уровень выходной мощности HackRF One RMS для сигналов GNSS составляет около -10 dBm. Этого достаточно, чтобы подавить реальные сигналы в радиусе 5 км в прямой видимости.

В этом сценарии SDR генерирует асинхронный сигнал, который приемник GNSS воспринимает как шум/помехи, поскольку приемник GNSS привязан только к реальным сигналам. Большая мощность спуфера здесь нужна, чтобы полностью заблокировать прием исходных сигналов и перевести приемник в поисковый режим. На расстоянии 50 метров мощность сигнала спуфера на 40 дБ выше исходных сигналов. Это приводит к перегрузке первого предусилителя приемника GNSS, что приводит к потере подлинного сигнала. Поэтому большая мощность нужна только в первые секунды атаки.

Способы защиты: Защитить сервер времени довольно легко. Вы можете использовать любой современный приемник GNSS, который поддерживает Glonass, Galileo, Beidou. Приемник GNSS автоматически исключает ложные сигналы GPS из расчета навигационного решения из-за больших ошибок псевдодальности/доплеровского смещения по сравнению с другими системами.

GNSS спуфинг при помощи HackRF One и джаммера


image
Для гарантированного спуфинга приемников GNSS с несколькими созвездиями необходимо только добавить генератор помех GNSS. Который надежно глушит прием сигналов ГЛОНАСС и BeiDou. Необходимо отрегулировать мощность глушителя GNSS и спуфера GPS. Чтобы глушились настоящие сигналы GPS, а фальшивый сигнал принимался.

Стоимость атаки: $320 за HackRF One и $150 USD за джаммер.

Время атаки: такое же, что и в предыдущем случае.

Результат: такой же, что и в предыдущем случае.

Дальность атаки: 100 метров. Выше, чем в первом случае, поскольку для нарушения отслеживания исходных сигналов может использоваться глушитель GNSS. Эта атака более сложна в исполнении, так как необходимо настроить выходную мощность спуфера и джаммера так, чтобы исходные сигналы подавлялись, а поддельные GPS — нет.

Способы защиты: Защитить сервер времени непросто. Почти все доступные на рынке приемники GNSS не могут противостоять этой атаке. Какие алгоритмы защиты можно реализовать на уровне сервера времени?

  1. Мониторинг ОСШ. Очень легко отслеживать среднее значение SNR и отключать приемник GNSS, если значение становится нереально высоким. Тем не менее по нашим наблюдениям, в большинстве реальных случаев спуфинга значение SNR снижается при некогерентных атаках. Кроме того, нет проблем с понижением SNR при генерации ложного сигнала.
  2. Мониторинг координат. Вы можете отключить приемник GNSS при значительном смещении координат. Паршивый метод, так как злоумышленник может легко смоделировать координаты вашей антенны с приемлемой точностью, чтобы избежать значительного дрейфа.

    Первые два метода действительно плохи в случае с серверами времени, и к тому времени, когда вы заметите изменение координат или SNR, будет уже слишком поздно. Эталонный генератор сервера времени уже начал бы подстраиваться под фальшивый сигнал и в конечном итоге давал бы вам неверное время.
  3. Мониторинг фазы PPS. Поскольку каждый сервер времени имеет идеальный гетеродин, можно каждую секунду сравнивать фазы PPS от приемника GNSS и гетеродина. В случае всплеска можно мгновенно отключить синхросигнал. (еще есть)
  4. Защита на уровне системы. Лучший метод защиты может быть реализован, когда у вас есть несколько распределенных в пространстве серверов времени. Если один из серверов времени начинает выдавать неверную метку времени, вы можете легко отключить его. Производительность метода зависит от качества сети (точность синхронизации через PTP) и количества серверов времени. Но есть и недостатки. В первые секунды спуфинга, когда сервер времени только начинает генерировать неправильное время, может быть затронута критическая инфраструктура, использующая этот конкретный сервер времени. В случае с банком некоторые транзакции могут попасть в базу данных с неправильной отметкой времени.

GNSS спуфинг при помощи HackRF One, джаммера и усилителя радиосигнала


image

Чтобы увеличить дальность атаки нужны ВЧ-усилитель на 10 Вт с AliExpress и направленная антенна.

imageimage

Стоимость атаки:

  • $320 за HackRF One;
  • $150 за джаммер;
  • 2 * $300 за усилители;
  • 2 * $200 за направленные антенны;
  • Итого: $1470.

Время атаки: такое же, что и в предыдущем случае.

Результат: такой же, что и в предыдущем случае.

Дальность атаки: 30 км, если установить спуфер на крыше здания высотой 40 метров.

Скорее всего такой мощный сигнал будет немедленно отслежен службами, ответственными за мониторинг радиочастотного спектра. Но высокая мощность нужна только в течение первых секунд, что заставит приемники GNSS потерять след исходных сигналов и перейти в режим поиска. После этого мощность спуфера можно сделать незначительной. И локализация источника атаки уже не будет такой простой задачей.

Способы защиты: Защита на уровне системы не поможет, поскольку могут быть затронуты все серверы времени в системе синхронизации. Без специализированных систем защиты от спуфинга не обойтись.

GNSS спуфинг с синхронизацией. Преднамеренная последовательная атака


image

Приведенные выше сценарии соответствуют некогерентным атакам. На первом этапе атаки GNSS-приемник теряет связь с реальными спутниками и через некоторое время переключается на фальшивые. Такие атаки характеризуются резкими скачками мощности, фазы PPS и координат и относительно легко обнаруживаются. Но что произойдет, если мы синхронизируемся с реальными сигналами. И на первой фазе атаки мы будем генерировать сигнал, идеально совпадающий с реальным по времени, координатам, псевдодальности, Доплеру, потоку данных и SNR.



Для такой атаки нет возможности загрузить программное обеспечение с GitHub. Вы можете модифицировать один из форков GPS-SDR-SIM самостоятельно или купить имеющиеся в продаже решения ($50к+).

Стоимость атаки: 1500 долларов США при самостоятельной модификации исходного кода GPS-SDR-SIM или 50 000 долларов США за готовые коммерческие доступные решения.

Время атаки: мгновенно.

Дальность атаки: Ограничено только радиогоризонтом.

Результат: Приемник моментально переключается на ложный сигнал. Сервер времени не выдает никаких ошибок или предупреждений и не переходит в режим удержания.
После успешного захвата приемника возможен плавный и контролируемый сдвиг времени и/или координат.

Способы защиты: Предположим вероятную цель такой атаки. Например, можно плавно и незаметно сдвинуть время на 10 мкс в одном из дата-центров, где происходит высокочастотный трейдинг. Тогда злоумышленник может получить преимущество, поскольку их транзакции могут быть отмечены более ранними отметками времени.

Преднамеренные сдвиги во времени могут нарушить работу системы передачи электроэнергии, что приведет к авариям и отключениям электроэнергии.

Небольшая корректировка координат может ввести в заблуждение водителя грузовика банка, и он повернет на несколько кварталов раньше, чем нужно, и попадет в засаду.

Кстати, идеальный случай синхронной атаки может быть выполнен с использованием ретранслятора GNSS. Если на антенну вашего сервера времени попадает сигнал ретранслятора GNSS из ближайшего магазина, у вас постоянно будет небольшой сдвиг во времени.

Существует только один метод защиты сервера времени от такой атаки. Это комбинация систем обнаружения спуфинга с пространственным анализом сигнала (антенная решетка) + альтернативный источник PNT (positioning, navigation, timing).

Комментарии (7)


  1. lab412
    17.03.2022 19:56
    +1

    а можно узнать зачем такие атаки вообще нужны? зачем всё это делается?


    1. MagisterLudi Автор
      17.03.2022 20:38
      +1

      1. lab412
        18.03.2022 07:17

        сбивать дроны над Кремлём? я не вижу там иных описаний зачем это надо. ну еще говорится про подделку времени, но не говорится чем это плохо и кто вообще это использует. мне казалось все используют синхронизацию через интернет, или сотовые вышки... вы говорите тут о военном применении для сбивания ракет с курса? так насколько я помню наши ракеты не используют внешней синхронизации принципиально чтобы не заглушили в пути... так вопрос остался всё еще, кроме как игра в сбивание дронов - иные применения какие? давайте больше кейсов, а то пугаете что вот спуфинг и всё такое, но я не вижу вообще причин бояться этого так как вы не говорите чем это опасно и зачем от этого надо прятаться обычному человеку и бизнесу в том числе


        1. vanxant
          18.03.2022 09:16
          +1

          Написано же - трейдеров глушат.


          1. SergeyMax
            19.03.2022 13:54

            Биржа же исполняет заявки не по времени трейдера, а по своему времени. А то бы все так своё время сдвигали, чтобы чужие заявки перекрывать)


  1. GreatGehar
    18.03.2022 13:56

    А описание типов атак "Синхронные с несколькими передатчиками на дронах" и "Повторители" будет?


  1. DAleks
    18.03.2022 21:22

    Если это перевод, то почему не виден источник? Если авторская, статья, то почему так похоже на перевод?

    Качество материала вызывает очень много вопросов, начиная с введения терминологии.