2020年2月22日

4分鐘閱讀

駭客可能關閉衛星——或將其變成武器

使用現成的元件意味著不良行為者可以輕易尋找漏洞

作者:威廉·阿科託& The Conversation US

2016年5月17日,在離開國際空間站上的 NanoRacks CubeSat Deployer 後,立方體衛星自由飛行。

美國國家航空航天局

上個月,SpaceX 成為世界最大活躍衛星星座的運營商。截至 1 月底,該公司已擁有242 顆衛星在地球軌道上執行,並計劃在未來十年內發射 42,000 顆。這是其雄心勃勃的全球網際網路接入專案的一部分。將衛星送入太空的競賽正在進行中,亞馬遜、總部位於英國的 OneWeb 和其他公司正急於在未來幾個月內將數千顆衛星送入軌道。

這些新衛星具有徹底改變日常生活的許多方面的潛力——從為全球偏遠地區帶來網際網路接入,到監測環境和改進全球導航系統。在所有這些喧囂之中,一個關鍵的危險被忽視了:美國和國際上商業衛星缺乏網路安全標準和法規。作為一名研究網路衝突的學者,我敏銳地意識到,這種情況,加上衛星複雜的供應鏈和多層利益相關者,使它們極易受到網路攻擊。

支援科學新聞報道

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。

如果駭客控制了這些衛星,後果不堪設想。在較為普通的層面上,駭客可能只是關閉衛星,拒絕提供其服務。駭客還可能干擾或欺騙來自衛星的訊號,為關鍵基礎設施造成混亂。這包括電網、水網路和交通運輸系統。

其中一些新衛星配備了推進器,使其能夠在太空中加速、減速和改變方向。如果駭客控制了這些可操縱的衛星,後果可能是災難性的。駭客可能會改變衛星的軌道,並使其撞擊其他衛星,甚至國際空間站。

商品化部件打開了一扇門

這些衛星的製造商,特別是小型立方體衛星,使用現成的技術來降低成本。這些元件的廣泛可用性意味著駭客可以分析它們以查詢漏洞。此外,許多元件都利用開源技術。這裡的危險在於,駭客可能會在衛星的軟體中插入後門和其他漏洞。

這些衛星的高度技術性也意味著多個製造商參與構建各種元件。將這些衛星送入太空的過程也很複雜,涉及多家公司。即使它們進入太空後,擁有衛星的組織也經常將其日常管理外包給其他公司。隨著供應商數量的增加,漏洞也會增加,因為駭客有更多機會滲透系統。

入侵其中一些立方體衛星可能就像等待其中一顆衛星經過頭頂,然後使用專用地面天線傳送惡意命令一樣簡單。入侵更復雜的衛星可能也不會那麼困難。

衛星通常從地面站控制。這些站點執行的計算機具有可能被駭客利用的軟體漏洞。如果駭客滲透到這些計算機,他們可能會向衛星傳送惡意命令。

駭客攻擊歷史

1998 年,這種情況就曾發生,當時駭客控制了美國-德國 ROSAT X 射線衛星。他們透過入侵馬里蘭州戈達德太空飛行中心的計算機做到了這一點。然後,駭客指示衛星將其太陽能電池板直接對準太陽。這有效地燒燬了它的電池,使衛星變得毫無用處。這顆報廢的衛星最終在 2011 年墜回地球。駭客還可能像 1999 年駭客控制英國的天網衛星時那樣,劫持衛星以索要贖金。

多年來,網路攻擊衛星的威脅變得越來越可怕。據報道,2008 年,可能來自中國的駭客完全控制了兩顆美國宇航局衛星,一顆約兩分鐘,另一顆約九分鐘。據報道,2018 年,另一箇中國國家支援的駭客組織發起了一場針對衛星運營商和國防承包商的複雜駭客活動。伊朗駭客組織也曾嘗試類似的攻擊

儘管美國國防部和國家安全域性已做出一些努力來解決太空網路安全問題,但進展緩慢。目前衛星沒有網路安全標準,也沒有管理機構來監管和確保其網路安全。即使可以制定通用標準,也沒有機制來執行這些標準。這意味著衛星網路安全的責任落在了製造和運營它們的各個公司身上。

市場力量不利於太空網路安全

在爭奪成為主導衛星運營商的過程中,SpaceX 和競爭對手公司面臨著越來越大的降低成本的壓力。加速開發和生產也面臨壓力。這使得公司很容易在網路安全等實際上是次要於將這些衛星送入太空的領域偷工減料。

即使對於那些高度重視網路安全的公司而言,保證每個元件安全的相關成本也可能令人望而卻步。對於低成本的太空任務而言,這個問題甚至更加嚴重,因為確保網路安全的成本可能超過衛星本身的成本。

更糟糕的是,這些衛星複雜的供應鏈以及參與其管理的多個方面意味著,通常不清楚誰對網路漏洞的責任和義務承擔責任。這種缺乏明確性滋生了自滿情緒,並阻礙了保護這些重要系統的努力。

需要監管

一些分析師已開始倡導政府大力參與衛星和其他太空資產的網路安全標準的制定和監管。國會可以努力為商業太空部門制定全面的監管框架。例如,他們可以透過立法,要求衛星製造商開發通用的網路安全架構。

他們還可以強制報告所有涉及衛星的網路漏洞。還需要明確哪些天基資產被認為是關鍵的,以便優先考慮網路安全工作。明確關於誰對衛星網路攻擊承擔責任的法律指導也將大大有助於確保負責方採取必要措施來保護這些系統。

鑑於國會行動的傳統緩慢步伐,可能需要採取涉及公私合作的多方利益相關者方法來確保網路安全標準。無論政府和行業採取何種步驟,現在都必須立即行動。如果等到駭客控制商業衛星並利用它來威脅地球或太空中的生命、肢體和財產,才來解決這個問題,那將是一個嚴重的錯誤。

本文最初發表於 The Conversation。閱讀原文

© .