Espiar internet vía satélite resulta posible, con un equipo valorado en 300€

En el marco del último Black Hat 2020 (Covid Edition) se han publicado cosas interesantes (no hablo de las decenas de nuevas vulnerabilidades en Zoom) como por ejemplo lo que presentó el investigador James Pavur. Resulta que con un equipo básico de unos 300 dólares resulta posible espiar internet en objetivos de alto valor estratégico, como los satélites.

Cuando se establece una comunicación vía satélite por parte de un cliente y su proveedor o ISP, este refleja las señales del cliente hacia un satélite geoestacional. usando un canal de comunicación breve. Luego, se devuelve esta señal hacia la estación terrestre que efectuó la llamada, y finalmente se enruta hacia internet.

Las señales de respuesta utilizan el mismo canal para ser transmitidas. Se establece una transmisión de tipo «broadcast» (de forma pública) que contiene mensajes de otros clientes en diferentes capas, para optimizar los costes de ancho de banda.

Los satélites son caros y se pretende cubrir tantos clientes como sea posible en cada barrido. Así que se entienden este tipo de mecanismos de ahorro de costes en latencias. Sin embargo, esto posibilitaría una escucha de las señales desde estaciones en tierra.

Espiar comunicaciones vía satélite con equipo doméstico

El problema es que ahora se pone de manifiesto que, de hecho, no es necesario contar con un equipo caro y difícil de configurar, sino que de hecho es bastante barato y sencillo conseguirlo, al alcance de casi cualquiera.

El investigador utilizó un plato de escucha satélite y lo combinó con una tarjeta receptora de este tipo, conectada mediante PCIe, para actuar como estación de escucha. El precio de este equipo puede oscilar entre 70€ para un equipo de segunda mano o poco fiable, y productos de primera por unos 250€.

Se explica en el mismo documento técnico que, simplemente con apuntar con el aparato hacia un satélite específico (y su ubicación suele ser pública) podrían usar programas como EPS Pro para sintonizar feeds de datos de internet.

Apuntamos con nuestro plato de escucha a un punto en el cielo donde sabemos que existe un satélite y analizamos la banda Ku del espectro de radio frente al ruido de fondo. La forma en que identificaremos canales es fijándonos en desviaciones en el espectro de radio, dado que se comportan de diferente manera que el ruido de fondo, así que podemos saber que allí ocurre algo. Le indicamos a nuestra tarjeta que sintonice esta fuente y lo trataremos como broadcasting de video para feed satélite.

Tras unos segundos se estabiliza la señal y se asegura la conexión. Una vez identificada una conexión de este tipo, el atacante tiene que grabarla y analizar los datos recogidos para determinar si está relacionado con un feed de TV o de Internet.

Parece ser que esto resulta bastante trivial, se necesita revisar la existencia de la cadena HTTP, asociada con tráfico de internet y que no está presente en señales de televisión.

La escucha

Cuando se tiene una señal de internet identificada, es posible grabarla y posteriormente «parsearla» (tratarla) para reconocer información de valor. El feed o señal se trasmite en uno de los protocolos siguientes:

• MPEG: sencillo de parsear con herramientas conocidas como Wireshark
• GSE (Generic Stream Encapsulator): un protocolo más robusto que el anterior, complicado de filtrar con equipo barato.

Pavur y su equipo se dieron cuenta de que casi todos los datos que obtuvieron estaban corruptos, así que decidieron elaborar una herramienta denominada GC Extract para poder extrar datos del stack TCP/IP de entre una grabación corrupta de tipo GSE.

Es decir, con software como este un atacante que esté escuchando la señal de un satélite, recibe lo que tu ISP esperaría recibir: cada paquete que llega a tu router, cada torrent que descargas o cada sitio web que visitas.

Pero la cosa se pone peor para los clientes de tipo corporativo, dado que muchos de ellos están operando en redes completamente basadas en comunicaciones mediante canales de satélite.

Por ejemplo, imaginemos un crucero que tiene unos cuantos terminales Windows a bordo. La red de área local (LAN) con todo su tráfico interno de tipo LDAP y SDP será enviada como señal broadcast al enlace satélite, dando al atacante una perspectiva similar a estar detrás del firewall.

Tampoco están a salvo los datos encriptados, que serían susceptibles de ser capturados mediante un análisis de las peticiones DNS, que podría revelar el historial de internet del usuario , además del análisis de los certificados TLS, que permitirían realizar un fingerprint.

El futuro

El FBI ha publicado una nota detallada de inteligencia sobre este caso, junto a la Universidad de Oxford, que ha notificado a las partes posiblemente afectadas.

Recientemente se ha llevado a cabo un experimento que ha probado ataques de tipo MitM (man in the middle / hombre en el medio) contra señales de satélites tipo VSAT marítimos, realizados con equipo televisivo de menos de 350€. Esto ha presentado oportunidadades para un rango mayor de actores maliciosos, que tendrían visbilidad potencial sobre estas señales.

El problema de fondo es que las comunicaciones de este tipo son lentas, debido a todos los saltos que debe dar la conexión en el cielo. Por eso, los ISP que ofrecen este tipo de lineas han diseñado una herramienta denominada Proxy de mejora de rendimiento, que no es otra cosa que un man-in-the-middle en toda regla, que intercepta y modifica tus sesiones TCP en ambos extremos de la cadena, para acelerar la conexión.

Sin embargo, si utilizamos un cifrado punto a punto de tipo estándar, el ISP no será capaz de conectarnos a dicho proxy, y nuestra velocidad de conexión se reducirá a una fracción del original.

Por tanto, parece que es imprescindible un cambio de modelo para las comunicaciones de internet vía satélite, reconociendo sus debilidades actuales.

Acceso a las diapositivas de presentación del evento