Njemački istraživači dobili su rijedak pristup trima satelitima i otkrili da godinama zaostaju za normalnim standardima kibernetičke sigurnosti.
Stotinama kilometara iznad Zemlje, tisuće satelita kruže oko planeta kako bi svijet funkcionirao glatko. Sateliti pokreću sustave mjerenja vremena, GPS i komunikacijske tehnologije. Ali godinama su istraživači sigurnosti upozoravali da je potrebno učiniti više kako bi se sateliti osigurali od kibernetičkih napada.
Nova analiza skupine njemačkih znanstvenika daje rijedak uvid u neke od sigurnosnih slabosti satelita koji trenutno kruže oko Zemlje. Istraživači sa Sveučilišta Ruhr Bochum i Centra za informacijsku sigurnost Cispa Helmholtz ispitali su softver koji koriste tri mala satelita i otkrili da sustavima nedostaju neke osnovne zaštite.
Sateliti koje su pregledali istraživači sadrže “jednostavne” ranjivosti u svom firmwareu i pokazuju “da je malo sigurnosnih istraživanja iz posljednjeg desetljeća doseglo domenu svemira.” Među problemima je nedostatak zaštite tko može komunicirati sa satelitskim sustavima i neuspjeh uključivanja enkripcije. Teoretski, kažu istraživači, vrste problema koje su otkrili mogle bi omogućiti napadaču da preuzme kontrolu nad satelitom i sruši ga na druge objekte.
Svi sateliti na nebu
Danas se koristi više vrsta satelita, različitih veličina i namjena, pa tako u orbiti lete sateliti koje su izradile komercijalne tvrtke da fotografiraju Zemlju i daju navigacijske podatke; vojni sateliti obavijeni su velom tajne i često se koriste za špijuniranje; a postoje i istraživački sateliti kojima upravljaju svemirske agencije i sveučilišta.
Tri satelita na koja se tim fokusirao koriste se za istraživanje, lete u niskoj Zemljinoj orbiti i njima uglavnom upravljaju sveučilišta. Istraživači su pregledali firmware ESTCube-1, estonskog kockastog satelita koji je lansiran 2013.; OPS-SAT Europske svemirske agencije, koji je otvorena istraživačka platforma; i Flying Laptop, mini satelit koji su izradili Sveučilište Stuttgart i obrambena tvrtka Airbus.
Analiza istraživača kaže da su pronašli šest vrsta sigurnosnih ranjivosti na sva tri satelita i ukupno 13 ranjivosti. Među tim ranjivostima bila su “nezaštićena telekomandna sučelja”, koja satelitski operateri na zemlji koriste za komunikaciju s vozilima kada su u orbiti. “Često im uopće nedostaje zaštita pristupa”, kaže Johannes Willbold, voditelj istraživanja sigurnosne analize satelita. “Oni u biti ništa ne provjeravaju.”
Osim ranjivosti unutar softvera satelita, kaže Willbold, tim je pronašao problem u biblioteci kodova za koju se čini da je koristi više satelita. Istraživanje detaljno opisuje ranjivost prekoračenja međuspremnika u softveru koji je razvio proizvođač nanosatelita GomSpace. Izvor problema, kaže istraživanje, je unutar knjižnice koja je posljednji put ažurirana 2014.
Andris Slavinskis, izvanredni profesor na Sveučilištu Tartu u Estoniji koji radi na projektu ESTCube, kaže da su otkrića “važna i relevantna” i da je sustav ESTCube-1 “razvijen i lansiran u vrijeme Divljeg zapada svijeta satelita.” Druga verzija satelita, ESTCube-2, trebala bi biti lansirana ove godine. U međuvremenu, Sabine Klinkner, profesorica satelitske tehnologije na Sveučilištu u Stuttgartu, koja je djelomično razvila Flying Laptop, kaže da su “slabosti” koje su istraživači pronašli rezultat kompromisa oko funkcionalnosti i pristupa satelitu.
Unatoč tome što se analiza satelitske sigurnosti većinom usredotočuje na istraživačke i akademske satelite, ona naglašava šira sigurnosna pitanja oko satelita o kojima su stručnjaci godinama zabrinuti.
Upozorenja o svemirskim sustavima nisu nova
Istraživači već dugo govore kako je potrebno učiniti više kako bi se zaštitili svemirski sustavi od napada i kako bi se poboljšao način na koji su stvoreni. Falco kaže da je svemirski firmware i razvoj softvera “noćna mora” iz dva razloga. Prvo, naslijeđeni softver često se koristi u razvoju i rijetko se ažurira, kaže Falco. “Drugi razlog je taj što svemirske sustave ne grade programeri softvera. Grade ih većinom zrakoplovni inženjeri.”
Juliana Suess, istraživačka analitičarka i voditeljica politike svemirske sigurnosti u obrambenom think tanku Royal United Services Institute, objašnjava da postoji više načina na koje se satelitski sustavi mogu napasti, osim ranjivosti softvera i firmvera. To uključuje napade na ometanje i prijevaru, koji ometaju signale koji se odašilju prema i od satelita. “Ne morate biti svemirska sila da to učinite”, kaže Suess.
Suess vjeruje da je kibernetički napad na satelitski sustav Viasat na početku ruske sveobuhvatne invazije na Ukrajinu prošle godine djelovao kao dodatni poziv na uzbunu svemirskoj industriji. U ranim jutarnjim satima 24. veljače 2022., kada su ruske trupe prvi put ušle na ukrajinsku zemlju, kibernetički napad prekinuo je tisuće modema iz satelitskog internetskog sustava. Napad je prekinuo veze diljem svijeta, uključujući njemačke vjetroelektrane. EU, Ujedinjeno Kraljevstvo i SAD povezali su napad s Rusijom, a to je potaknulo američku Nacionalnu sigurnosnu agenciju da progovori o satelitskoj sigurnosti.
Dok stručnjaci i dalje oglašavaju uzbunu oko pitanja kibernetičke sigurnosti u svemiru, komercijalni svemirski sektor doživljava procvat. SpaceX i druge tvrtke utrkuju se u postavljanju tisuća satelita u orbitu kako bi osigurali internetsku vezu, a satelitima je postalo jeftinije fotografirati Zemlju iz svemira. Uz velike tvrtke, postoji manji niz tvrtki koje izrađuju komponente i dijelove koji će biti uključeni u svemirske letjelice. Ovaj opskrbni lanac predstavlja dodatne sigurnosne rizike.
“Apsolutno im sigurnost nije prioritet”, kaže Falco. “Vjerojatno nemaju ljude koji znaju išta o tome u svom osoblju.” U lipnju ove godine, Institute of Electrical and Electronics Engineers Standards Association najavio je nove napore, kojima Falco predsjeda, za uvođenje zajedničkih praksi i zahtjeva za kibernetičku sigurnost u svemirskoj industriji. “Toliko je novca koji ide u razvoj komercijalno vođenih svemirskih sustava, komercijalni subjekti trebaju imati neke smjernice”, kaže Falco.
