Toen Tweakers in 2019 voor het laatst hackersconferentie DEF CON bezocht, was Aerospace Village een klein, weggestopt hoekje van de conferentiehal waarin een handvol hackers iets met satellieten deed. Nu, in 2022, krijgt dezelfde village een zaal met wel 200 mensen. Het lijkt exemplarisch voor wat veel van de aanwezigen zeggen: satellieten hacken wordt big business.
Tweakers op Black Hat en DEF CON
Tweakers is deze week op de beveiligingsconferenties Black Hat en DEF CON in Las Vegas. Black Hat is een conferentie voor securityprofessionals, waar onderzoek wordt gepresenteerd, maar waar ook bedrijven nieuwe tools presenteren. DEF CON vindt in de dagen erna plaats en is een typisch hackersfeest met hackathons en villages waar hard- en software worden gekraakt.
DEF CON kent verschillende 'villages', gebieden in het conferentiecentrum waar verschillende soorten hacks worden uitgevoerd. In Aerospace Village vinden workshops en presentaties plaats over het hacken van alles rondom satelliettechnologie. Zo zit een zekere Marcus achter een scherm waarop hij probeert een kleine satelliet te hacken, geen echte, maar een model dat even verderop op tafel staat. Hij doet mee aan de PiSat-competitie, een capture the flag met verschillende doelen, zoals roottoegang tot een apparaat of netwerk krijgen of bepaalde commando's erop kunnen uitvoeren. Tijdens een ctf spelen hackers tegen elkaar en moeten ze een opdracht zo snel mogelijk binnen een bepaalde tijd uitvoeren.
In het dagelijks leven doet Marcus helemaal niets met ruimtevaarttechnologie of satellieten, zegt hij, al wil hij niet vertellen wat hij dan wel precies doet. Nu hij hier op DEF CON in Las Vegas is, vond hij dat hij niet anders kon. Dat is deels praktisch, zegt hij, want deze specifieke ctf-wedstrijden duren gemiddeld korter dan veel andere wedstrijden die elders op de hackersconferentie plaatsvinden. Hij ziet er ook wel een zekere toekomst in, vervolgt hij. "Nu SpaceX al die Starlink-satellieten omhoogschiet, wordt het ook voor onderzoekers interessant om te kijken naar satelliettechnologie."
:strip_exif()/i/2005295044.jpeg?f=imagenormal)
Steeds meer satellieten
Verschillende sprekers die op het Aerospace Village een praatje komen geven, zijn het daarmee eens. Satellieten vielen decennia geleden bijna exclusief in de domeinen van overheid en wetenschap. Dat waren grote en peperdure kunstmanen waar er niet zoveel van waren. In de latere decennia werd de ruimte toegankelijker en goedkoper voor kleinere bedrijven, universiteiten en onderzoekers. Pas in de echt laatste jaren, met de opkomst van minisatellieten en spotgoedkope prijsvechters zoals SpaceX, schieten satellieten niet alleen letterlijk, maar ook in aantallen omhoog. Nu SpaceX met zijn eigen Starlink-netwerk al meer dan 2500 satellieten heeft gelanceerd, worden de toepassingen ook veel laagdrempeliger en voor meer mensen interessant.
Dat maakt dat hackers zoals Marcus, maar ook veel anderen, interesse hebben in de beveiliging van die satellieten. "Aanvallen op satellietsystemen zijn niet alleen een gevaar voor de infrastructuur, maar ook in toenemende mate voor onze privacy en dataveiligheid", zegt Mike Campanelli, die aan ruimtevaartactiviteiten werkt bij AWS. Hij vertelt op de hackersconferentie welke ontwikkelingen in de afgelopen jaren hebben plaatsgevonden in het ruimtevaartdomein. Daarvan zijn er genoeg. Hij geeft een voorbeeld waarbij onderzoekers een satelliet in een labomgeving zo wisten te manipuleren dat die een niet-bestaande stad van thiscitydoesnotexist.com gebruikte als brondata. "Vroeger dachten we dat een satelliet veilig was als die de aarde eenmaal had verlaten, dat je er vanuit de atmosfeer niets meer mee kunt", zegt hij. Het onderzoek dat hij aanhaalt, toont juist aan dat dat wel kan. Dat onderzoek vond echter nog steeds niet echt in de ruimte plaats, maar gewoon op aarde.
Grondstations en modems
:strip_exif()/i/2005295046.jpeg?f=imagenormal)
Campanelli ziet de echt interessante satelliethacks vooral plaatsvinden op aarde. "Grondstations zijn een aantrekkelijk doelwit", zegt hij. "Die grondinfrastructuur is vaak niet erg geavanceerd, kent veel open poorten en maakt laterale bewegingen door een netwerk mogelijk. Dat maakt het relatief eenvoudig om er bepaalde data aan te onttrekken." Van grondstations zijn er niet eens zoveel, maar modems die satellietcommunicatie kunnen ontvangen, zijn er des te meer. En dat maakt ze natuurlijk ook weer aantrekkelijk voor aanvallers. "Er zijn er veel meer dan grondstations, tienduizenden zelfs. Zulke modems kennen ook vaak kwetsbaarheden die misbruikt kunnen worden", zegt Campanelli, maar hij noemt daarbij weinig concrete voorbeelden of bekende exploits.
Het valt op dat veel van de onderzoeken naar satellietveiligheid zich vooral afspelen in laboratoria en meestal theoretisch zijn. Het is echter niet zo dat er op DEF CON helemaal geen onderzoek wordt gepresenteerd naar het hacken van actieve satellieten. Zo beschrijft Motherboard dat een hackersgroep de dode telecomsatelliet Anik F1R kon overnemen om er films mee te streamen, maar de hackers moesten gebruikmaken van een licentie en de apparatuur van de makers.
Ook onderzoek naar grondstations en modems, zoals Campanelli ze noemt, blijft grotendeels bij theoretische voorspellingen en scenario's. Het is daarom moeilijk te schatten hoe groot het risico van gehackte satellieten daadwerkelijk is. Op het moment lijkt dat weinig praktisch en concreet, maar de hackers in de Aerospace Village zijn het erover eens dat vooral het stijgende aantal toepassingen en het aantal gelanceerde kunstmanen het de moeite waard maken om er meer over te leren. "Het lijkt soms alsof we nu dezelfde discussie voeren als in 2007, toen de iPhone net uit was", zegt een anonieme bezoeker tegen Tweakers. "Toen vroeg iedereen zich ook af of je die wel kon hacken en waarom je dat eigenlijk zou willen. Nu doen we hetzelfde met satellieten."
Starlink-hack
/i/2005295056.png?f=imagemedium)
Iemand die op zowel Black Hat als DEF CON wél praktisch liet zien hoe kwetsbaar satellietgrondstations kunnen zijn, is de Belgische Lennert Wouters. De onderzoeker van de KU Leuven presenteerde op beide conferenties een onderzoek waarin hij aantoonde hoe hij de Dishy McFlatface-ontvangstschotel van Starlink kon kraken en er eigen code op kon draaien. Wouters richtte zich specifiek op de schotel van het systeem, een 60 centimeter brede schijf, die hij eerst openschroefde om te analyseren. Hij vond aan de binnenkant een pcb dat net zo groot was als de schijf zelf. Daarin zat een door SpaceX ontworpen en door STM gebouwde Arm Cortex-A53-processor waarvan de architectuur niet openbaar gedocumenteerd is.
De grootte van het pcb maakte de hack gelijk lastig. Wouters wist een dump te maken van de eMMC-chip en kon daarna de firmware analyseren. Door daarnaast naar de die van de soc te kijken kon Wouters 'interessante locaties voor fysieke aanvallen op de chip' vinden, zei hij tijdens zijn presentatie. Hij ontdekte dat er bepaalde locaties in de chip zijn waar het mogelijk zou zijn om commando's te injecteren waarmee hij ontwikkelaarstoegang kon krijgen. Hij moest daarvoor een fault injection uitvoeren. "Er zijn verschillende manieren om dat te doen, bijvoorbeeld via lasers of een electromagnetische injectie", vertelde hij. "Het probleem is dat de pcb zo groot is dat het apparaat niet in de machines past die we daarvoor hebben. Bovendien is het niet praktisch om zo'n aanval uit te voeren als een terminal op een dak staat."
Tweakers maakte eerder een preview van hoe Starlink in de praktijk werkt.
/i/2005295042.png?f=imagenormal)
Voltage fault injection
Wouters koos daarom voor een voltage fault injection waarmee hij de cpu precies kon uitschakelen op het moment dat de signature van de firmware werd gecontroleerd. Daardoor kon hij een rootshell openen en zo commando's ingeven op de terminal. Aanvankelijk misbruikte Wouters daarvoor de UART-component op de soc, maar na een firmware-upgrade voegde SpaceX daar een extra beveiliging aan toe. "Daarom moest ik overstappen naar het signaal uit de eMMC."
Om de kwetsbaarheid uit te buiten, bouwde Wouters zijn eigen pcb, een modchip gebaseerd op een Raspberry Pi RP2040-microcontroller. Hij zette het ontwerp daarvoor online op GitHub. "De modchip kan de signatureverificatie tijdens het uitvoeren van de soc-rombootloader omzeilen", schrijft Wouters daarbij.
:strip_exif()/i/2005295040.jpeg?f=imagegallery)
'Goed ontworpen'
De hack was niet makkelijk, zei Wouters. Hoeveel uur hij erin heeft gestopt, wist hij niet te zeggen. "We zijn als onderzoekers op de universiteit met veel verschillende projecten tegelijk bezig", antwoordde hij na een vraag van een bezoeker. Maar makkelijk was de hack allerminst. "De Starlink-terminals zijn erg goed ontworpen vanuit beveiligingsoogpunt. Er was geen duidelijk laaghangend fruit dat was uit te buiten. Het was ook moeilijker om roottoegang te krijgen als je dat vergelijkt met veel andere apparaten." Volgens Wouters is de aanval bovendien niet makkelijk schaalbaar.
Ook is hij erg te spreken over de respons van SpaceX zelf. Hij tipte het bedrijf over zijn bevindingen en kreeg al snel 'een behulpzaam antwoord terug'. SpaceX heeft een firmware-update uitgebracht en zelf een blogpost geschreven met meer informatie over de bug en de beveiliging ervan. Het bedrijf heeft Wouters een bugbountybeloning gegeven voor zijn bevindingen. Volgens Wouters zelf is de bug nooit helemaal op te lossen, omdat die nu eenmaal onderdeel is van de hardware in de chip. De enige echte oplossing zou volgens hem zijn om nieuwe schotels met een nieuwe chip uit te brengen.
/i/2005305288.png?f=fpa)
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_exif()/i/2004607630.jpeg?f=fpa)
:strip_exif()/i/1303128799.gif?f=fpa)
:strip_exif()/i/2004961104.jpeg?f=fpa)
/i/2004845656.png?f=fpa)
/i/2004989592.png?f=fpa)
/i/2004628264.png?f=fpa)
/i/2004838090.png?f=fpa)
/i/1324032356.png?f=fpa)
:strip_exif()/i/1371482326.jpeg?f=fpa)
:strip_exif()/u/8064/bang.gif?f=community){kind=small}
/u/2820/crop60efd54698630_cropped.png?f=community){kind=small}
/u/85941/crop61dd9b39bb021_cropped.png?f=community){kind=small}
/u/58925/crop67dac72bd9b69.png?f=community){kind=small}
/u/1568000/crop6111972429a47_cropped.png?f=community){kind=small}
/u/99142/crop62758e978b3e3_cropped.png?f=community){kind=small}
/u/204872/crop65a1d5f52b87f.png?f=community){kind=small}
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}