Τα δεδομένα που μεταδίδονται μέσω δορυφόρου ενδέχεται να μην είναι τόσο ασφαλή όσο πιστεύαμε προηγουμένως. Μια νέα μελέτη που δημοσιεύθηκε διαπίστωσε ότι επικοινωνίες από παρόχους κινητής τηλεφωνίας, εμπόρους λιανικής, τράπεζες, ακόμη και στρατιωτικές δυνάμεις, μεταδίδονται μη κρυπτογραφημένες μέσω γεωστατικών δορυφόρων. Ερευνητές από το Πανεπιστήμιο της Καλιφόρνια στο Σαν Ντιέγκο (UCSD) και το Πανεπιστήμιο του Μέριλαντ σάρωσαν 39 από αυτούς τους δορυφόρους από μια ταράτσα στη Νότια Καλιφόρνια σε διάστημα τριών ετών. Διαπίστωσαν ότι περίπου τα μισά από τα σήματα που ανέλυσαν μετέδιδαν μη κρυπτογραφημένα δεδομένα, εκθέτοντας πιθανώς τα πάντα, από τηλεφωνικές κλήσεις και δεδομένα από στρατιωτικά logistics μέχρι το απόθεμα εμπορευμάτων μιας αλυσίδας λιανικής.
«Υπάρχει μια σαφής αναντιστοιχία μεταξύ του τρόπου με τον οποίο οι πελάτες δορυφορικών υπηρεσιών αναμένουν να ασφαλίζονται τα δεδομένα και του τρόπου με τον οποίο ασφαλίζονται στην πράξη», έγραψαν οι ερευνητές στην εργασία τους με τίτλο «Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites». Ο τίτλος της εργασίας αποτελεί σαφή αναφορά στην ταινία του Netflix του 2021, που χρησιμοποιείται σε αυτή την περίπτωση ως μεταφορά για την έλλειψη ασφάλειας των δορυφόρων. «Υπέθεταν ότι κανείς δεν επρόκειτο ποτέ να ελέγξει και να σαρώσει όλους αυτούς τους δορυφόρους για να δει τι υπήρχε εκεί έξω. Αυτή ήταν η μέθοδος ασφαλείας τους», δήλωσε στο Wired ο Άαρον Σούλμαν, καθηγητής του UCSD και συν-επικεφαλής της μελέτης. «Απλώς δεν πίστευαν πραγματικά ότι κάποιος θα κοιτούσε ψηλά».
Ακόμη πιο εκπληκτικό είναι το γεγονός ότι οι ερευνητές δεν χρειάστηκαν κάποιον εξεζητημένο κατασκοπευτικό εξοπλισμό για να συλλέξουν αυτά τα δεδομένα. Η εγκατάστασή τους χρησιμοποίησε αποκλειστικά off-the-shelf υλικό, συμπεριλαμβανομένου ενός δορυφορικού πιάτου 185 δολαρίων, μιας βάσης στήριξης οροφής 140 δολαρίων και ενός tuner 230 δολαρίων. Συνολικά, το σύστημα κόστισε περίπου 750 δολάρια και εγκαταστάθηκε σε ένα κτίριο του πανεπιστημίου στη Λα Χόγια του Σαν Ντιέγκο. Με την απλή αυτή εγκατάσταση, οι ερευνητές κατάφεραν να συλλέξουν ένα ευρύ φάσμα δεδομένων επικοινωνίας, συμπεριλαμβανομένων τηλεφωνικών κλήσεων, γραπτών μηνυμάτων, δεδομένων Wi-Fi κατά την πτήση από επιβάτες αεροπορικών εταιρειών και σημάτων από επιχειρήσεις κοινής ωφέλειας ηλεκτρικής ενέργειας. Απέκτησαν ακόμη και επικοινωνίες του αμερικανικού και του μεξικανικού στρατού και διωκτικών αρχών, καθώς και συναλλαγές ATM και εταιρικές επικοινωνίες.
Ορισμένοι από τους επηρεαζόμενους οργανισμούς περιελάμβαναν τις Walmart-Mexico, Santander Mexico και Banjercito, όπως ανέφεραν οι ερευνητές. Ειδικότερα, όσον αφορά τις τηλεπικοινωνίες, η ομάδα συνέλεξε αριθμούς τηλεφώνου, κλήσεις και γραπτά μηνύματα από πελάτες των T-Mobile, AT&T Mexico και Telmex. Σύμφωνα με τους ερευνητές, αυτά τα σήματα εκτέθηκαν επειδή οι εταιρείες τηλεπικοινωνιών συχνά βασίζονται σε δορυφόρους για να παρέχουν κάλυψη σε πελάτες σε απομακρυσμένες περιοχές. Για παράδειγμα, απομακρυσμένοι πύργοι σε ερημικές περιοχές των ΗΠΑ συνδέονται με έναν δορυφόρο, ο οποίος στη συνέχεια αναμεταδίδει σήματα στο κεντρικό δίκτυο του παρόχου. Αυτό το επιπλέον εσωτερικό βήμα είναι γνωστό ως backhaul traffic και, όπως εντοπίστηκε, σε ορισμένες περιπτώσεις ήταν μη κρυπτογραφημένο.
Χρειάστηκαν μόλις εννέα ώρες ώστε η ομάδα να συλλέξει τους αριθμούς τηλεφώνου περισσότερων από 2.700 χρηστών της T-Mobile, μαζί με ορισμένες από τις κλήσεις και τα γραπτά τους μηνύματα. «Η T-Mobile αντιμετώπισε αμέσως μια λανθασμένη τεχνική διαμόρφωση ενός προμηθευτή που επηρέαζε έναν περιορισμένο αριθμό τοποθεσιών κυψελών οι οποίες χρησιμοποιούσαν backhaul σε απομακρυσμένες, αραιοκατοικημένες περιοχές, όπως εντοπίστηκε σε αυτή την έρευνα του 2024», ανέφερε η T-Mobile σε δήλωσή της.
«Αυτό δεν αφορούσε το σύνολο του δικτύου, δεν σχετίζεται με την προσφορά μας T-Satellite direct-to-cell, και εφαρμόσαμε εθνική κρυπτογράφηση SIP για όλους τους πελάτες, ώστε να προστατεύσουμε περαιτέρω την κίνηση καθώς αυτή διακινείται μεταξύ των κινητών συσκευών και του κεντρικού δικτύου, συμπεριλαμβανομένης της έναρξης κλήσης, των αριθμών κλήσης και του περιεχομένου των γραπτών μηνυμάτων. Εκτιμούμε τη συνεργασία μας με την ερευνητική κοινότητα, το έργο της οποίας συμβάλλει στην ενίσχυση της διαρκούς δέσμευσής μας για την προστασία των δεδομένων των πελατών και βελτιώνει την ασφάλεια σε ολόκληρο τον κλάδο».
Επιπλέον, η ομάδα απέκτησε μη κρυπτογραφημένες διαδικτυακές επικοινωνίες από θαλάσσια σκάφη του αμερικανικού στρατού, ακόμη και επικοινωνίες σχετικά με τη διακίνηση ναρκωτικών από τον μεξικανικό στρατό και τις διωκτικές αρχές. Η ομάδα δήλωσε ότι έχει ειδοποιήσει όλα τα επηρεαζόμενα μέρη σχετικά με τα κενά ασφαλείας, και αρκετά έχουν ήδη επιβεβαιώσει ότι έχουν εφαρμόσει διορθωτική λύση. Με άδεια, οι ερευνητές σάρωσαν εκ νέου τα δίκτυα και επαλήθευσαν ότι οι διορθώσεις είχαν εφαρμοστεί για την T-Mobile και τη Walmart.
Οι ερευνητές επεσήμαναν διάφορους λόγους για τα μη κρυπτογραφημένα σήματα, συμπεριλαμβανομένων των οικονομικών κινήτρων. Ενώ η κρυπτογράφηση δεδομένων μπορεί να αποτελεί επιπλέον κόστος, αξίζει τον κόπο για ορισμένες εταιρείες όταν τα οικονομικά οφέλη είναι σαφή, όπως οι πάροχοι δορυφορικής τηλεόρασης που προστατεύονται από την πειρατεία. Αλλά για άλλους οργανισμούς, η κρυπτογράφηση μπορεί να μειώσει την αποδοτικότητα και να επηρεάσει την αξιοπιστία των υπηρεσιών. Άλλες φορές, η κρυπτογράφηση μπορεί απλώς να απενεργοποιηθεί κατά λάθος, αλλά το συνολικό σύστημα να συνεχίζει να λειτουργεί χωρίς να υποδεικνύει ότι τα δεδομένα δεν προστατεύονται πλέον.
