詳解GPS欺騙：針對導(dǎo)航系統(tǒng)的「致命攻擊」

2016-10-10 by:CAE仿真在線來源:互聯(lián)網(wǎng)

1 事件

1月12日,就在奧巴馬準(zhǔn)備發(fā)表任上最后一次國情咨文演講的前一小時(shí),兩艘載有10名海軍的美國巡邏艇因駛?cè)胍晾仕?被伊朗軍方扣押,這一突發(fā)事件,給總統(tǒng)的上臺演說增加了幾分尷尬。第二天,船員們就被伊方釋放,但美方似乎沒有官員能對偏離航向的原因做出合理解釋。國防部長阿什頓卡特只是簡單回應(yīng)到:那些訓(xùn)練有素的船員“迷航”了,調(diào)查在進(jìn)行中。

圖:伊朗媒體報(bào)道的美國巡邏艇大兵繳械投降畫面

2 猜想

該事件雖然沒有明確的解釋,但不免讓人們猜測,可能是伊朗向美方巡邏艇發(fā)出GPS欺騙攻擊,誘使船只偏離航向。雖然美軍軍用GPS經(jīng)過高度加密,常規(guī)上劫持GPS系統(tǒng)也非常困難,但對伊朗來說,曾有過先例:2011年,伊方曾聲稱通過GPS欺騙技術(shù)捕獲了CIA的一架機(jī)密無人機(jī),該無人機(jī)原計(jì)劃在阿富汗降落。

3 GPS欺騙技術(shù)的發(fā)展

早在2008年,德克薩斯州立大學(xué)奧斯汀分校的Humphreys教授已經(jīng)研發(fā)出了業(yè)內(nèi)公認(rèn)的GPS欺騙攻擊系統(tǒng)(GPS spoofer),該spoofer針對導(dǎo)航系統(tǒng)發(fā)送虛假信號,幾乎可以以假亂真。另外,康奈爾大學(xué)的Psiaki教授也在GPS信號探測和欺騙領(lǐng)域進(jìn)行著深入研究。

在伊朗捕獲美國無人機(jī)事件不久,美國土安全部便決定對無人機(jī)GPS欺騙技術(shù)展開調(diào)查。2012年6月,Humphreys研究團(tuán)隊(duì)受DHS之邀在白沙導(dǎo)彈靶場進(jìn)行無人直升機(jī)攻擊測試(TED視頻),最終,無人機(jī)被GPS欺騙系統(tǒng)成功誘騙。該測試攻擊也受到國家立法層面和媒體的關(guān)注,后來,Humphreys還受邀出席了美國國會關(guān)于無人機(jī)安全的討論。

此后,雖然GPS欺騙攻擊的嚴(yán)重性深入人心,但其對導(dǎo)航系統(tǒng)的威脅卻鮮為人知。為了預(yù)防GPS欺騙,我們首先要了解對手如何破壞GPS信號。

無人機(jī)捕獲事件和攻擊測試明顯表明了GPS漏洞的存在,而GPS的其它應(yīng)用更令人擔(dān)憂,如:手機(jī)信號塔、證券交易所、電網(wǎng)等關(guān)鍵系統(tǒng)都部分或全部使用GPS精準(zhǔn)定時(shí)。有針對性的GPS欺騙可導(dǎo)致通信中斷、金融交易混亂、電力系統(tǒng)癱瘓等?？梢韵嘞?最嚴(yán)重的情況,GPS欺騙攻擊者甚至可以操縱信號,讓飛機(jī)或輪船發(fā)生相撞。

4 GPS欺騙攻擊測試實(shí)例-白玫瑰號游艇

Andrew Schofield,白玫瑰號超級游艇船長,在2013年德州SXSW互動會議上聽取了Humphreys關(guān)于白沙無人機(jī)攻擊測試的案例細(xì)節(jié)后,主動邀請Humphreys對白玫瑰號游艇的GPS信號進(jìn)行測試。Humphreys接受了這項(xiàng)邀請。白玫瑰號游艇主要依靠GPS來定位航行,通過GPS天線和接收器來接收衛(wèi)星數(shù)據(jù)。

Humphreys與研究團(tuán)隊(duì)攜GPS欺騙系統(tǒng)登上了白玫瑰號游艇從摩納哥到希臘羅德島的旅程。就在行程的第二天,研究團(tuán)隊(duì)便成功利用虛假信號取代了GPS接收器的接收信號,實(shí)現(xiàn)了游艇的左向3度偏移。偏移十分輕微,最終,GPS欺騙攻擊使白玫瑰號偏出預(yù)定航線一公里。

5 GPS欺騙技術(shù)原理

Humphreys團(tuán)隊(duì)是如何做到的?在通常的運(yùn)行機(jī)制中,GPS接收器通過一次計(jì)算與多個(gè)衛(wèi)星的距離來判斷自身位置。每個(gè)衛(wèi)星都配置有原子鐘,并時(shí)刻向外廣播其位置、時(shí)間和偽隨機(jī)噪音碼(由1023個(gè)正負(fù)號組成的簽名模式, PRN碼)。因?yàn)樗蠫PS衛(wèi)星都使用相同的頻率來廣播民用信號,這些PRN碼用來標(biāo)識信號發(fā)射源,所以非常重要。

PRN碼的構(gòu)成模式也隨時(shí)重復(fù)變換,GPS信號接收器通過其正負(fù)號的獨(dú)特排列方式,來判斷和衛(wèi)星之間的通信傳輸延遲。GPS信號接收器使用這些延遲,配合衛(wèi)星方位和時(shí)間戳,精確測量出自身位置。

雖然一個(gè)GPS接收器使用3顆衛(wèi)星數(shù)據(jù)就能定位坐標(biāo),但為了得到更好更精確的修正位置,接收器必須同時(shí)接收四顆或更多的衛(wèi)星信號。

GPS網(wǎng)絡(luò)由31顆衛(wèi)星組成,并由美國空軍操作控制。這些衛(wèi)星廣播民用和軍用兩種PRN碼,其中,民用PRN碼是不加密且在衛(wèi)星數(shù)據(jù)庫中公開的,而軍用PRN碼是被加密的,只有當(dāng)GPS接收器具備其秘密密鑰才可接收解碼數(shù)據(jù)。

通常來說,即使非軍用GPS接收器接收了軍用GPS信號,卻無法使用這些信號來判斷位置。另外,出于安全原因,美國空軍頻繁變換軍用信號接收密鑰,因此,只有那些擁有最新密鑰的軍用GPS接收器才能正常接收使用軍用信號。

如果要攻擊像白玫瑰游艇上的民用GPS信號接收器,GPS欺騙系統(tǒng)必須判斷出在給定時(shí)間區(qū)域內(nèi)攻擊目標(biāo)附近的軌道衛(wèi)星,然后利用公開數(shù)據(jù)庫中的公式,偽造不同衛(wèi)星的PRN碼信息,之后,欺騙系統(tǒng)在攻擊目標(biāo)附近,通過廣播與衛(wèi)星信號相同的PRN碼值信息,欺騙攻擊目標(biāo)的GPS接收器注冊接收這些虛假信號。

有一種藝術(shù)性的攻擊技巧“Drag-Off”,可以隱秘地覆蓋掉真實(shí)的GPS信號。要做到這一點(diǎn),在GPS接收器獲取這些受騙信號之前,欺騙系統(tǒng)必須逐漸增加虛假信號功率。如果虛假信號頻率增加得太快,也會引起懷疑。一旦GPS接收器鎖定并接收了這些虛假錯(cuò)誤信號,攻擊者可以調(diào)整接收器,舍棄真實(shí)信號,更換成其它新的坐標(biāo)集。

6 GPS欺騙防御技術(shù)

幸運(yùn)的是,來自美國康奈爾大學(xué)的Psiaki教授和他的學(xué)生團(tuán)隊(duì)已經(jīng)研發(fā)出反GPS欺騙的防御系統(tǒng)。事實(shí)上,Humphrey團(tuán)隊(duì)在白沙靶場進(jìn)行無人機(jī)攻擊測試的同時(shí),Psiaki也在現(xiàn)場對一個(gè)早期的GPS防御模型進(jìn)行測試,該模型經(jīng)過數(shù)小時(shí)的離線計(jì)算可以成功檢測每次GPS欺騙攻擊。

防止GPS欺騙攻擊,有三種主要方式:加密、信號失真檢測、波達(dá)方向(DOA)感應(yīng)。單獨(dú)一種方法不可能實(shí)現(xiàn)完全防御。

加密:

加密方式為使用者提供了空中認(rèn)證信號。舉個(gè)例子,就像民用GPS接收器獲取了加密的軍用PRN碼后,將不能完全可知或解碼,當(dāng)然,GPS欺騙系統(tǒng)也不可能做到提前偽造合成加密信號。如果要認(rèn)證每個(gè)信號,那么每臺民用GPS接收器將要攜帶類似于軍用接收器上的加密密鑰,而且要保證攻擊者不能輕易獲取到這些密鑰。

或者,接收器可以先接收信號中的不可預(yù)測或解碼的那部分,之后,等待發(fā)送方廣播有數(shù)字簽名的加密密鑰來驗(yàn)證信號源。然而,這種方式會產(chǎn)生短暫延遲,而且,還需要掌握GPS網(wǎng)絡(luò)的美國空軍修改信號廣播方式,另外,民用接收器制造商也要重新改變設(shè)備構(gòu)造。

當(dāng)然,另外一種簡單方法就是,在軍用加密信號中“加載”民用信號。目前,軍用信號即使無法被解碼和用于導(dǎo)航,但已經(jīng)可以被民用接收器接收,民用接收器通過觀察接收到的PRN碼噪音痕跡,能間接驗(yàn)證信號發(fā)射源。這種策略還需依賴另外一臺安全的民用接收器,這臺接收器用以區(qū)分驗(yàn)證多個(gè)信號的噪音痕跡,否則,攻擊者一樣可以制造虛假的痕跡。

加密技術(shù)的缺點(diǎn)是,所有的加密方式都容易被專門的系統(tǒng)進(jìn)行信號攔截、傳輸延遲、信號重放等攻擊,這種專門的工具稱為信號模擬干擾器Meacon,它可以使用多種天線來模擬不同距離的信號延遲,通過調(diào)整延遲距離,攻擊者可以輕易欺騙任何GPS接收器。

信號失真檢測:

另一種防御GPS欺騙的方法是信號失真檢測,當(dāng)GPS信號正在被欺騙攻擊時(shí),這種方法可以根據(jù)一個(gè)短暫可觀測的峰值信號來警告用戶。通常,GPS接收器會使用不同策略來追蹤接入信號的振幅強(qiáng)度,當(dāng)一個(gè)模擬信號被傳輸發(fā)送時(shí),接收器上顯示的是原始信號和假信號的合成,而這種合成將會在Drag-off期間的振幅中出現(xiàn)一個(gè)峰值信號。

波達(dá)方向感應(yīng):

Psiaki在白沙靶場演示的欺騙探測防御系統(tǒng)就是使用這種技術(shù),該系統(tǒng)主要技術(shù)點(diǎn)在于,它需要幾個(gè)小時(shí)的脫機(jī)數(shù)據(jù)處理計(jì)算來檢測欺騙攻擊。

FB百科:

波達(dá)方向(Direction Of Arrival)估計(jì),又稱為譜估計(jì)(spectral estimation)、波達(dá)角(Angle Of Arrival)估計(jì)。一個(gè)信源有很多可能的傳播路徑和到達(dá)角。如果幾個(gè)發(fā)射器同時(shí)工作,每個(gè)信源在接收器處形成潛在的多徑分量角度。因此,接收天線能估計(jì)出這些到達(dá)角就顯得很重要,目的是估計(jì)出哪個(gè)發(fā)射器在工作以及發(fā)射器所處的方向。

由于真實(shí)的GPS信號來自于多顆衛(wèi)星,因此在GPS接收器附近會形成多種角度。而在真實(shí)的GPS欺騙攻擊場景中,同一時(shí)間只能在一個(gè)地方,通過偽造GPS接收器附近衛(wèi)星的PRN碼來制造虛假信號,并且,這些不同的信號將會從一個(gè)天線進(jìn)行傳播擴(kuò)散,它們到達(dá)GPS接收器附近時(shí),產(chǎn)生的是同一個(gè)方向的角度。所以,波達(dá)方向感應(yīng)正是利用了這樣一種事實(shí)和原理,如果GPS接收器附近的同一方向,產(chǎn)生了不同的信號,那么,GPS欺騙攻擊可能正在進(jìn)行。

當(dāng)然,如果能分別感應(yīng)到每個(gè)信號的到達(dá)方向,就可輕易確定是否正遭受GPS欺騙。為了驗(yàn)證這個(gè)想法,最近,Psiaki的實(shí)驗(yàn)室利用干涉檢測原理,構(gòu)建了一種使用軟件和兩個(gè)天線的GPS欺騙發(fā)現(xiàn)系統(tǒng)。具體來說,它使用載波相位作為檢測屬性,分辨信號在不同天線之間的變化區(qū)別,來確定信號的到達(dá)角度(方向)。

載波相位是指在信號接收時(shí)刻,衛(wèi)星信號的相位相對于接收器產(chǎn)生的載波信號相位的測量值。載波相位檢測是計(jì)算GPS信號多普勒頻移周期的方法。多普勒頻移發(fā)生于信號發(fā)射器與接收器有相對移動時(shí)。一個(gè)經(jīng)典的例子就是:當(dāng)消防車經(jīng)過并遠(yuǎn)離你時(shí),警笛聲音的頻移從高到低。GPS衛(wèi)星與GPS接收器之間會產(chǎn)生相對運(yùn)動,并且這種相對運(yùn)動對每個(gè)衛(wèi)星都不同。

7 GPS欺騙攻擊檢測防御實(shí)例-白玫瑰號游艇

在Schofield的要求下,Psiaki團(tuán)隊(duì)在2014年6月白玫瑰號巡游意大利時(shí)測試了這個(gè)檢測防御系統(tǒng)。欺騙攻擊由Humphreys團(tuán)隊(duì)策劃,使船偏離行駛在前往利比亞的航道上。Psiaki的GPS欺騙檢測器通過測量來自多個(gè)衛(wèi)星和欺騙系統(tǒng)的7個(gè)GPS信號載波相位,在攻擊一開始,就向船員發(fā)出了欺騙發(fā)現(xiàn)警告。當(dāng)攻擊開始后,欺騙檢測器發(fā)現(xiàn),不同的變化在真正的載波相位差中消失了。至利比亞航道的Drag-off欺騙,在開始后約125秒進(jìn)入攻擊,而Psiaki的檢測系統(tǒng)在其中首個(gè)循環(huán)檢測的第6秒內(nèi)就捕獲到了攻擊。

8 幾種欺騙防御技術(shù)比較

今年初,GPS制造商U-blox在其M8系列的商用導(dǎo)航系統(tǒng)中通過更新固件內(nèi)置了欺騙防御裝置。該公司沒有公布欺騙檢測的方法,但估計(jì)可能是信號失真檢測,因?yàn)檫@種方法最容易固件更新來實(shí)現(xiàn)。

但是,基于失真檢測的方法可能在攻擊早期不能及時(shí)捕獲欺騙,相對來說,加密方法是非常有效的(當(dāng)然這得詳細(xì)咨詢美國空軍),但這需要GPS信號廣播方式在物理構(gòu)造上做出改變,當(dāng)然,或許還需要高帶寬通信鏈路。目前,歐洲伽利略導(dǎo)航衛(wèi)星系統(tǒng)的設(shè)計(jì)師們已經(jīng)認(rèn)可并測試了這種方法,但是,這樣的加密信號系統(tǒng)仍然易受信號干擾攻擊。

另外,波達(dá)方向感應(yīng)比失真檢測成本更昂貴,因?yàn)樗枰鄠€(gè)大型天線設(shè)備。而且,有些攻擊仍可以欺騙它:如果欺騙攻擊系統(tǒng)的目標(biāo)只接收一到兩個(gè)GPS信號,而不是附近范圍內(nèi)所有衛(wèi)星信號,那么,在欺騙防御系統(tǒng)關(guān)閉后,有些載波相位差甚至在攻擊后仍然存在。

9 結(jié)語

最終,我們認(rèn)為信號失真檢測和波達(dá)方向感應(yīng)的綜合可能是最好的欺騙防御方法。失真檢測應(yīng)用于攻擊初始階段,而波達(dá)方向感應(yīng)則提供第二道階段防御。

但是,這樣的綜合解決方案對大多數(shù)普通用戶來說,稍顯昂貴,而且,一般用戶并不需要欺騙防御系統(tǒng)。當(dāng)然,希望這是個(gè)安全的賭注,當(dāng)美國駕駛員開車尋找時(shí)髦餐館或載小孩去看棒球比賽時(shí),也許伊朗特工對這種GPS欺騙根本不感興趣。

以上研究僅僅是信息物理網(wǎng)絡(luò)安全(CPS)的一小部分。想像一下,在擁擠的高速公路上,黑客能做到發(fā)送虛假雷達(dá)信號到高檔汽車的自動剎車系統(tǒng),讓它來個(gè)急剎車嗎?答案是肯定的,令人惶恐的。在信息安全測試研究中,紅隊(duì)實(shí)施系統(tǒng)攻擊,而藍(lán)隊(duì)負(fù)責(zé)防御偵察,這種測試方法對我們的工作非常有用,在某些方面來說,我們亟需加強(qiáng)防御能力建設(shè)。