Векторы атак на ГНСС в критической национальной инфраструктуре

Четыре созвездия ГНСС (ГЛОНАСС, GPS, BeiDou и Galileo) дают больше, чем просто навигацию или позиционирование. Они обеспечивают стабильную и точную привязку частоты, фазы и времени для всех видов систем, лежащих в основе современной жизни. К ним относятся телекоммуникационные сети, сети электроснабжения и коммунальных услуг, финансовые учреждения, радио- и телевещание, и это лишь небольшая часть. Многие из этих приложений являются частью критической национальной инфраструктуры (CNI).

Из-за низкого уровня мощности и характера распространения радиосигналов ГНСС легко создать помехи работе приёмника ГНСС, заглушив радиосигнал более мощным источником шума, расположенным рядом с антенной. Это нарушает работу приёмника, так как он не может принимать спутниковые сигналы, пока его глушат. Глушение сигналов может быть преднамеренным или совершенно случайным.

Коммодитизация программно-определяемых радиостанций (SDR) и появление бесплатного ПО с открытым исходным кодом означает, что «спуфинг» (создание ложной копии радиосигнала для того, чтобы обмануть приёмник при декодировании и привязать его к полностью фальшивому источнику времени и времени) сигнала ГНСС становится проще и доступнее с каждым днём.

Поверхность атаки продолжает расти по мере увеличения количества систем синхронизации ГНСС, развёрнутых для поддержки CNI. Полезно рассмотреть, какие векторы атак могут быть использованы против таких систем и как мы можем уменьшить эти риски безопасности.

1. Физическая охрана

При рассмотрении возможности физического нападения на антенные системы или объекты, в которых размещены системы точного времени ГНСС, следует принимать меры в соответствии с существующими мерами физической безопасности для объектов CNI. Другими рисками являются стрельба (имеются сообщения о стрельбе по антеннам ГНСС как по мишеням!), гнездование птиц (или другие помехи от диких животных) и непреднамеренная заметность, например, места базовых станций 5G с метками «<Имя оператора> GPS» на антенном кабеле. Сюда входит защита от ударов молнии. Антенна ГНСС часто может быть самой высокой точкой здания и уязвима для ударов молнии.

2. Радиобезопасность: глушение и спуфинг

Технология борьбы с помехами существовала ещё до появления ГНСС. Антенные решётки GPS подпадают под ограничения ITAR США. Гражданские коммерческие антенны с фазированной решеткой (антенны с управляемой диаграммой направленности приёма – CRPA) также используются для защиты от атак с глушением.

Узконаправленные атаки могут создавать небольшие временные смещения в приёмнике (порядка нано/микро/миллисекунд ошибки). Это влияет на системы, которые предъявляют требования к точности времени или позиции, и постепенно выводит их из оптимального диапазона. Более грубые атаки могут имитировать индикатор «високосная секунда в ожидании», чтобы спровоцировать программные ошибки при обработке високосных секунд. Они могут даже подделать сдвиг во времени более чем на 19,7 лет (точнее, на 1024 недели). Первоначальная спецификация интерфейса GPS, используемая некоторыми старыми приёмниками, использует 10-битное число для хранения «номера недели» как части временной шкалы «GPS Time». Это обычно упоминается как «проблема переноса номера недели» (WNRO) и используется для блокировки приёмников.

3. Брандмауэр ГНСС

Относительно недавним дополнением к средствам защиты от глушения и спуфинга стал «брандмауэр ГНСС». Это аппаратное обеспечение рассматривает структуру радиосигнала гораздо более подробно, чем существующие приёмники ГНСС, разработанные в эпоху, когда спуфинг ещё не стал такой проблемой, поэтому обеспечивающие очень слабую защиту. Такие продукты могут также содержать имитаторы сигналов ГНСС. Их можно использовать с локальной базой времени, отслеживаемой по атомным часам, для обеспечения синхронизации ГНСС-приёмников CNI в случае длительных атак.

4. Сетевая безопасность

Многие серверы времени на основе ГНСС управляются и настраиваются через сетевой интерфейс, как и другие сетевые элементы/узлы. Таким образом, они сталкиваются со всеми теми же векторами атак, что и другое сетевое оборудование. Примеры включают распределённые атаки типа «отказ в обслуживании» (DDoS) и атаки «человек посередине» (MiTM). Некоторые системы Time Server могут предоставлять функции PTP или NTP на том же или других сетевых портах. Они требуют того же уровня защиты и мониторинга, что и существующие системы IТ/ОТ. Многие системы переходят на архитектуру «нулевого доверия», где каждый этап процесса контроля/управления аутентифицируется/верифицируется.

5. Атаки на цепочку поставок

И аппаратные, и программные компоненты, обеспечивающие функциональность ГНСС, превратились в товар. Например, недорогой кремний в новейших смартфонах, который обеспечивает работу сложных мульти-созвездных мультичастотных приёмников (MCMF) для определённых модулей синхронизации. Они обеспечивают < 30 нс ошибки для универсального координированного времени на своих интерфейсах вывода времени. Производители обычно интегрируют их в системы серверов времени, а не разрабатывают собственную технологию приёмников ГНСС.

Природа аппаратных/обрабатывающих модулей CPU, интегрированных в системы ГНСС, может запускать операционную систему реального времени (RTOS) вместе с эталонными проектами FPGA и другими программными компонентами. Сюда может входить GPSD, демон Linux/UNIX с открытым исходным кодом, который обычно используется для управления локально подключенными приёмниками ГНСС. Все эти строительные блоки подвержены риску атаки на цепочку поставок и внедрения скрытых функций, которые могут соответствовать повестке дня злоумышленников.

Аспект кибербезопасности CNI, связанный с безопасностью ГНСС, можно улучшить, если тщательно рассмотреть все эти факторы риска и векторы атак и устранить их с помощью описанных стратегий смягчения последствий.

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный Telegram-канал