詳解GPS欺騙：針對(duì)導(dǎo)航系統(tǒng)的「致命攻擊」

2016-10-10 by:CAE仿真在線來(lái)源:互聯(lián)網(wǎng)

1 事件

1月12日,就在奧巴馬準(zhǔn)備發(fā)表任上最后一次國(guó)情咨文演講的前一小時(shí),兩艘載有10名海軍的美國(guó)巡邏艇因駛?cè)胍晾仕?被伊朗軍方扣押,這一突發(fā)事件,給總統(tǒng)的上臺(tái)演說(shuō)增加了幾分尷尬。第二天,船員們就被伊方釋放,但美方似乎沒(méi)有官員能對(duì)偏離航向的原因做出合理解釋。國(guó)防部長(zhǎng)阿什頓卡特只是簡(jiǎn)單回應(yīng)到:那些訓(xùn)練有素的船員“迷航”了,調(diào)查在進(jìn)行中。

圖:伊朗媒體報(bào)道的美國(guó)巡邏艇大兵繳械投降畫(huà)面

2 猜想

該事件雖然沒(méi)有明確的解釋,但不免讓人們猜測(cè),可能是伊朗向美方巡邏艇發(fā)出GPS欺騙攻擊,誘使船只偏離航向。雖然美軍軍用GPS經(jīng)過(guò)高度加密,常規(guī)上劫持GPS系統(tǒng)也非常困難,但對(duì)伊朗來(lái)說(shuō),曾有過(guò)先例:2011年,伊方曾聲稱(chēng)通過(guò)GPS欺騙技術(shù)捕獲了CIA的一架機(jī)密無(wú)人機(jī),該無(wú)人機(jī)原計(jì)劃在阿富汗降落。

3 GPS欺騙技術(shù)的發(fā)展

早在2008年,德克薩斯州立大學(xué)奧斯汀分校的Humphreys教授已經(jīng)研發(fā)出了業(yè)內(nèi)公認(rèn)的GPS欺騙攻擊系統(tǒng)(GPS spoofer),該spoofer針對(duì)導(dǎo)航系統(tǒng)發(fā)送虛假信號(hào),幾乎可以以假亂真。另外,康奈爾大學(xué)的Psiaki教授也在GPS信號(hào)探測(cè)和欺騙領(lǐng)域進(jìn)行著深入研究。

在伊朗捕獲美國(guó)無(wú)人機(jī)事件不久,美國(guó)土安全部便決定對(duì)無(wú)人機(jī)GPS欺騙技術(shù)展開(kāi)調(diào)查。2012年6月,Humphreys研究團(tuán)隊(duì)受DHS之邀在白沙導(dǎo)彈靶場(chǎng)進(jìn)行無(wú)人直升機(jī)攻擊測(cè)試(TED視頻),最終,無(wú)人機(jī)被GPS欺騙系統(tǒng)成功誘騙。該測(cè)試攻擊也受到國(guó)家立法層面和媒體的關(guān)注,后來(lái),Humphreys還受邀出席了美國(guó)國(guó)會(huì)關(guān)于無(wú)人機(jī)安全的討論。

此后,雖然GPS欺騙攻擊的嚴(yán)重性深入人心,但其對(duì)導(dǎo)航系統(tǒng)的威脅卻鮮為人知。為了預(yù)防GPS欺騙,我們首先要了解對(duì)手如何破壞GPS信號(hào)。

無(wú)人機(jī)捕獲事件和攻擊測(cè)試明顯表明了GPS漏洞的存在,而GPS的其它應(yīng)用更令人擔(dān)憂(yōu),如:手機(jī)信號(hào)塔、證券交易所、電網(wǎng)等關(guān)鍵系統(tǒng)都部分或全部使用GPS精準(zhǔn)定時(shí)。有針對(duì)性的GPS欺騙可導(dǎo)致通信中斷、金融交易混亂、電力系統(tǒng)癱瘓等?？梢韵嘞?最嚴(yán)重的情況,GPS欺騙攻擊者甚至可以操縱信號(hào),讓飛機(jī)或輪船發(fā)生相撞。

4 GPS欺騙攻擊測(cè)試實(shí)例-白玫瑰號(hào)游艇

Andrew Schofield,白玫瑰號(hào)超級(jí)游艇船長(zhǎng),在2013年德州SXSW互動(dòng)會(huì)議上聽(tīng)取了Humphreys關(guān)于白沙無(wú)人機(jī)攻擊測(cè)試的案例細(xì)節(jié)后,主動(dòng)邀請(qǐng)Humphreys對(duì)白玫瑰號(hào)游艇的GPS信號(hào)進(jìn)行測(cè)試。Humphreys接受了這項(xiàng)邀請(qǐng)。白玫瑰號(hào)游艇主要依靠GPS來(lái)定位航行,通過(guò)GPS天線和接收器來(lái)接收衛(wèi)星數(shù)據(jù)。

Humphreys與研究團(tuán)隊(duì)攜GPS欺騙系統(tǒng)登上了白玫瑰號(hào)游艇從摩納哥到希臘羅德島的旅程。就在行程的第二天,研究團(tuán)隊(duì)便成功利用虛假信號(hào)取代了GPS接收器的接收信號(hào),實(shí)現(xiàn)了游艇的左向3度偏移。偏移十分輕微,最終,GPS欺騙攻擊使白玫瑰號(hào)偏出預(yù)定航線一公里。

5 GPS欺騙技術(shù)原理

Humphreys團(tuán)隊(duì)是如何做到的?在通常的運(yùn)行機(jī)制中,GPS接收器通過(guò)一次計(jì)算與多個(gè)衛(wèi)星的距離來(lái)判斷自身位置。每個(gè)衛(wèi)星都配置有原子鐘,并時(shí)刻向外廣播其位置、時(shí)間和偽隨機(jī)噪音碼(由1023個(gè)正負(fù)號(hào)組成的簽名模式, PRN碼)。因?yàn)樗蠫PS衛(wèi)星都使用相同的頻率來(lái)廣播民用信號(hào),這些PRN碼用來(lái)標(biāo)識(shí)信號(hào)發(fā)射源,所以非常重要。

PRN碼的構(gòu)成模式也隨時(shí)重復(fù)變換,GPS信號(hào)接收器通過(guò)其正負(fù)號(hào)的獨(dú)特排列方式,來(lái)判斷和衛(wèi)星之間的通信傳輸延遲。GPS信號(hào)接收器使用這些延遲,配合衛(wèi)星方位和時(shí)間戳,精確測(cè)量出自身位置。

雖然一個(gè)GPS接收器使用3顆衛(wèi)星數(shù)據(jù)就能定位坐標(biāo),但為了得到更好更精確的修正位置,接收器必須同時(shí)接收四顆或更多的衛(wèi)星信號(hào)。

GPS網(wǎng)絡(luò)由31顆衛(wèi)星組成,并由美國(guó)空軍操作控制。這些衛(wèi)星廣播民用和軍用兩種PRN碼,其中,民用PRN碼是不加密且在衛(wèi)星數(shù)據(jù)庫(kù)中公開(kāi)的,而軍用PRN碼是被加密的,只有當(dāng)GPS接收器具備其秘密密鑰才可接收解碼數(shù)據(jù)。

通常來(lái)說(shuō),即使非軍用GPS接收器接收了軍用GPS信號(hào),卻無(wú)法使用這些信號(hào)來(lái)判斷位置。另外,出于安全原因,美國(guó)空軍頻繁變換軍用信號(hào)接收密鑰,因此,只有那些擁有最新密鑰的軍用GPS接收器才能正常接收使用軍用信號(hào)。

如果要攻擊像白玫瑰游艇上的民用GPS信號(hào)接收器,GPS欺騙系統(tǒng)必須判斷出在給定時(shí)間區(qū)域內(nèi)攻擊目標(biāo)附近的軌道衛(wèi)星,然后利用公開(kāi)數(shù)據(jù)庫(kù)中的公式,偽造不同衛(wèi)星的PRN碼信息,之后,欺騙系統(tǒng)在攻擊目標(biāo)附近,通過(guò)廣播與衛(wèi)星信號(hào)相同的PRN碼值信息,欺騙攻擊目標(biāo)的GPS接收器注冊(cè)接收這些虛假信號(hào)。

有一種藝術(shù)性的攻擊技巧“Drag-Off”,可以隱秘地覆蓋掉真實(shí)的GPS信號(hào)。要做到這一點(diǎn),在GPS接收器獲取這些受騙信號(hào)之前,欺騙系統(tǒng)必須逐漸增加虛假信號(hào)功率。如果虛假信號(hào)頻率增加得太快,也會(huì)引起懷疑。一旦GPS接收器鎖定并接收了這些虛假錯(cuò)誤信號(hào),攻擊者可以調(diào)整接收器,舍棄真實(shí)信號(hào),更換成其它新的坐標(biāo)集。

6 GPS欺騙防御技術(shù)

幸運(yùn)的是,來(lái)自美國(guó)康奈爾大學(xué)的Psiaki教授和他的學(xué)生團(tuán)隊(duì)已經(jīng)研發(fā)出反GPS欺騙的防御系統(tǒng)。事實(shí)上,Humphrey團(tuán)隊(duì)在白沙靶場(chǎng)進(jìn)行無(wú)人機(jī)攻擊測(cè)試的同時(shí),Psiaki也在現(xiàn)場(chǎng)對(duì)一個(gè)早期的GPS防御模型進(jìn)行測(cè)試,該模型經(jīng)過(guò)數(shù)小時(shí)的離線計(jì)算可以成功檢測(cè)每次GPS欺騙攻擊。

防止GPS欺騙攻擊,有三種主要方式:加密、信號(hào)失真檢測(cè)、波達(dá)方向(DOA)感應(yīng)。單獨(dú)一種方法不可能實(shí)現(xiàn)完全防御。

加密:

加密方式為使用者提供了空中認(rèn)證信號(hào)。舉個(gè)例子,就像民用GPS接收器獲取了加密的軍用PRN碼后,將不能完全可知或解碼,當(dāng)然,GPS欺騙系統(tǒng)也不可能做到提前偽造合成加密信號(hào)。如果要認(rèn)證每個(gè)信號(hào),那么每臺(tái)民用GPS接收器將要攜帶類(lèi)似于軍用接收器上的加密密鑰,而且要保證攻擊者不能輕易獲取到這些密鑰。

或者,接收器可以先接收信號(hào)中的不可預(yù)測(cè)或解碼的那部分,之后,等待發(fā)送方廣播有數(shù)字簽名的加密密鑰來(lái)驗(yàn)證信號(hào)源。然而,這種方式會(huì)產(chǎn)生短暫延遲,而且,還需要掌握GPS網(wǎng)絡(luò)的美國(guó)空軍修改信號(hào)廣播方式,另外,民用接收器制造商也要重新改變?cè)O(shè)備構(gòu)造。

當(dāng)然,另外一種簡(jiǎn)單方法就是,在軍用加密信號(hào)中“加載”民用信號(hào)。目前,軍用信號(hào)即使無(wú)法被解碼和用于導(dǎo)航,但已經(jīng)可以被民用接收器接收,民用接收器通過(guò)觀察接收到的PRN碼噪音痕跡,能間接驗(yàn)證信號(hào)發(fā)射源。這種策略還需依賴(lài)另外一臺(tái)安全的民用接收器,這臺(tái)接收器用以區(qū)分驗(yàn)證多個(gè)信號(hào)的噪音痕跡,否則,攻擊者一樣可以制造虛假的痕跡。

加密技術(shù)的缺點(diǎn)是,所有的加密方式都容易被專(zhuān)門(mén)的系統(tǒng)進(jìn)行信號(hào)攔截、傳輸延遲、信號(hào)重放等攻擊,這種專(zhuān)門(mén)的工具稱(chēng)為信號(hào)模擬干擾器Meacon,它可以使用多種天線來(lái)模擬不同距離的信號(hào)延遲,通過(guò)調(diào)整延遲距離,攻擊者可以輕易欺騙任何GPS接收器。

信號(hào)失真檢測(cè):

另一種防御GPS欺騙的方法是信號(hào)失真檢測(cè),當(dāng)GPS信號(hào)正在被欺騙攻擊時(shí),這種方法可以根據(jù)一個(gè)短暫可觀測(cè)的峰值信號(hào)來(lái)警告用戶(hù)。通常,GPS接收器會(huì)使用不同策略來(lái)追蹤接入信號(hào)的振幅強(qiáng)度,當(dāng)一個(gè)模擬信號(hào)被傳輸發(fā)送時(shí),接收器上顯示的是原始信號(hào)和假信號(hào)的合成,而這種合成將會(huì)在Drag-off期間的振幅中出現(xiàn)一個(gè)峰值信號(hào)。

波達(dá)方向感應(yīng):

Psiaki在白沙靶場(chǎng)演示的欺騙探測(cè)防御系統(tǒng)就是使用這種技術(shù),該系統(tǒng)主要技術(shù)點(diǎn)在于,它需要幾個(gè)小時(shí)的脫機(jī)數(shù)據(jù)處理計(jì)算來(lái)檢測(cè)欺騙攻擊。

FB百科:

波達(dá)方向(Direction Of Arrival)估計(jì),又稱(chēng)為譜估計(jì)(spectral estimation)、波達(dá)角(Angle Of Arrival)估計(jì)。一個(gè)信源有很多可能的傳播路徑和到達(dá)角。如果幾個(gè)發(fā)射器同時(shí)工作,每個(gè)信源在接收器處形成潛在的多徑分量角度。因此,接收天線能估計(jì)出這些到達(dá)角就顯得很重要,目的是估計(jì)出哪個(gè)發(fā)射器在工作以及發(fā)射器所處的方向。

由于真實(shí)的GPS信號(hào)來(lái)自于多顆衛(wèi)星,因此在GPS接收器附近會(huì)形成多種角度。而在真實(shí)的GPS欺騙攻擊場(chǎng)景中,同一時(shí)間只能在一個(gè)地方,通過(guò)偽造GPS接收器附近衛(wèi)星的PRN碼來(lái)制造虛假信號(hào),并且,這些不同的信號(hào)將會(huì)從一個(gè)天線進(jìn)行傳播擴(kuò)散,它們到達(dá)GPS接收器附近時(shí),產(chǎn)生的是同一個(gè)方向的角度。所以,波達(dá)方向感應(yīng)正是利用了這樣一種事實(shí)和原理,如果GPS接收器附近的同一方向,產(chǎn)生了不同的信號(hào),那么,GPS欺騙攻擊可能正在進(jìn)行。

當(dāng)然,如果能分別感應(yīng)到每個(gè)信號(hào)的到達(dá)方向,就可輕易確定是否正遭受GPS欺騙。為了驗(yàn)證這個(gè)想法,最近,Psiaki的實(shí)驗(yàn)室利用干涉檢測(cè)原理,構(gòu)建了一種使用軟件和兩個(gè)天線的GPS欺騙發(fā)現(xiàn)系統(tǒng)。具體來(lái)說(shuō),它使用載波相位作為檢測(cè)屬性,分辨信號(hào)在不同天線之間的變化區(qū)別,來(lái)確定信號(hào)的到達(dá)角度(方向)。

載波相位是指在信號(hào)接收時(shí)刻,衛(wèi)星信號(hào)的相位相對(duì)于接收器產(chǎn)生的載波信號(hào)相位的測(cè)量值。載波相位檢測(cè)是計(jì)算GPS信號(hào)多普勒頻移周期的方法。多普勒頻移發(fā)生于信號(hào)發(fā)射器與接收器有相對(duì)移動(dòng)時(shí)。一個(gè)經(jīng)典的例子就是:當(dāng)消防車(chē)經(jīng)過(guò)并遠(yuǎn)離你時(shí),警笛聲音的頻移從高到低。GPS衛(wèi)星與GPS接收器之間會(huì)產(chǎn)生相對(duì)運(yùn)動(dòng),并且這種相對(duì)運(yùn)動(dòng)對(duì)每個(gè)衛(wèi)星都不同。

7 GPS欺騙攻擊檢測(cè)防御實(shí)例-白玫瑰號(hào)游艇

在Schofield的要求下,Psiaki團(tuán)隊(duì)在2014年6月白玫瑰號(hào)巡游意大利時(shí)測(cè)試了這個(gè)檢測(cè)防御系統(tǒng)。欺騙攻擊由Humphreys團(tuán)隊(duì)策劃,使船偏離行駛在前往利比亞的航道上。Psiaki的GPS欺騙檢測(cè)器通過(guò)測(cè)量來(lái)自多個(gè)衛(wèi)星和欺騙系統(tǒng)的7個(gè)GPS信號(hào)載波相位,在攻擊一開(kāi)始,就向船員發(fā)出了欺騙發(fā)現(xiàn)警告。當(dāng)攻擊開(kāi)始后,欺騙檢測(cè)器發(fā)現(xiàn),不同的變化在真正的載波相位差中消失了。至利比亞航道的Drag-off欺騙,在開(kāi)始后約125秒進(jìn)入攻擊,而Psiaki的檢測(cè)系統(tǒng)在其中首個(gè)循環(huán)檢測(cè)的第6秒內(nèi)就捕獲到了攻擊。

8 幾種欺騙防御技術(shù)比較

今年初,GPS制造商U-blox在其M8系列的商用導(dǎo)航系統(tǒng)中通過(guò)更新固件內(nèi)置了欺騙防御裝置。該公司沒(méi)有公布欺騙檢測(cè)的方法,但估計(jì)可能是信號(hào)失真檢測(cè),因?yàn)檫@種方法最容易固件更新來(lái)實(shí)現(xiàn)。

但是,基于失真檢測(cè)的方法可能在攻擊早期不能及時(shí)捕獲欺騙,相對(duì)來(lái)說(shuō),加密方法是非常有效的(當(dāng)然這得詳細(xì)咨詢(xún)美國(guó)空軍),但這需要GPS信號(hào)廣播方式在物理構(gòu)造上做出改變,當(dāng)然,或許還需要高帶寬通信鏈路。目前,歐洲伽利略導(dǎo)航衛(wèi)星系統(tǒng)的設(shè)計(jì)師們已經(jīng)認(rèn)可并測(cè)試了這種方法,但是,這樣的加密信號(hào)系統(tǒng)仍然易受信號(hào)干擾攻擊。

另外,波達(dá)方向感應(yīng)比失真檢測(cè)成本更昂貴,因?yàn)樗枰鄠€(gè)大型天線設(shè)備。而且,有些攻擊仍可以欺騙它:如果欺騙攻擊系統(tǒng)的目標(biāo)只接收一到兩個(gè)GPS信號(hào),而不是附近范圍內(nèi)所有衛(wèi)星信號(hào),那么,在欺騙防御系統(tǒng)關(guān)閉后,有些載波相位差甚至在攻擊后仍然存在。

9 結(jié)語(yǔ)

最終,我們認(rèn)為信號(hào)失真檢測(cè)和波達(dá)方向感應(yīng)的綜合可能是最好的欺騙防御方法。失真檢測(cè)應(yīng)用于攻擊初始階段,而波達(dá)方向感應(yīng)則提供第二道階段防御。

但是,這樣的綜合解決方案對(duì)大多數(shù)普通用戶(hù)來(lái)說(shuō),稍顯昂貴,而且,一般用戶(hù)并不需要欺騙防御系統(tǒng)。當(dāng)然,希望這是個(gè)安全的賭注,當(dāng)美國(guó)駕駛員開(kāi)車(chē)尋找時(shí)髦餐館或載小孩去看棒球比賽時(shí),也許伊朗特工對(duì)這種GPS欺騙根本不感興趣。

以上研究?jī)H僅是信息物理網(wǎng)絡(luò)安全(CPS)的一小部分。想像一下,在擁擠的高速公路上,黑客能做到發(fā)送虛假雷達(dá)信號(hào)到高檔汽車(chē)的自動(dòng)剎車(chē)系統(tǒng),讓它來(lái)個(gè)急剎車(chē)嗎?答案是肯定的,令人惶恐的。在信息安全測(cè)試研究中,紅隊(duì)實(shí)施系統(tǒng)攻擊,而藍(lán)隊(duì)負(fù)責(zé)防御偵察,這種測(cè)試方法對(duì)我們的工作非常有用,在某些方面來(lái)說(shuō),我們亟需加強(qiáng)防御能力建設(shè)。