Ruhr Üniversitesi Bochum’dan araştırmacılar ve Saarbrücken’deki CISPA Helmholtz Bilgi Güvenliği Merkezi, şu anda Dünya’nın yörüngesinde dönen uyduların güvenlik mekanizmalarını BT perspektifinden değerlendirdiler.
Moritz Schloegel (solda) ve Johannes Willbold uyduların güvenliğini analiz ettiler. Ellerinde küçük bir uydu modeli tutuyorlar.
Mevcut üç düşük dünya yörüngeli uyduyu analiz ettiler ve teknik açıdan yalnızca bazı modern güvenlik konseptlerinin uygulandığını gördüler. Modern cep telefonlarında ve dizüstü bilgisayarlarda standart olan çeşitli güvenlik mekanizmaları yoktu: örneğin, kod ve veri ayrımı yoktu. Uydu geliştiricileri ile yapılan görüşmeler, endüstrinin esasen belirsizliğe dayalı güvenliğe dayandığını da ortaya çıkardı.
Sonuçlar, Bochum’dan bir doktora öğrencisi olan Johannes Willbold, Saarbrücken’den bir araştırmacı olan Dr. Ali Abbasi ve daha önce Bochum’da, şimdi Saarbrücken’de bulunan Profesör Thorsten Holz’un başkanlık ettiği bir ekip tarafından sunuldu.
Uydular test ediliyor
İncelenen uydular, Dünya’yı kısa bir mesafede yörüngeye oturtan ve Dünya’yı gözlemlemek için kullanılan iki küçük model ve bir orta ölçekli modeldi – araştırma uyduları ve ticari bir şirketin uydusu.
Özellikle ticari sağlayıcılar herhangi bir ayrıntıyı nadiren açıklamak istediklerinden, uydulara ve yazılımlarına erişim elde etmek ekip için zorlu bir işti. Araştırmacılar sonunda Avrupa Uzay Ajansı (ESA), uydu yapımında yer alan çeşitli üniversiteler ve ticari bir işletme ile işbirliği yaparak erişim sağladılar.
Bochum ve Saarbrücken’den ekip, üç modelin kapsamlı bir güvenlik analizini gerçekleştirdi. Cihazlarda çalışan yazılımların ne işe yaradığını ve hangi iletişim protokollerinin kullanıldığını detaylı olarak incelediler. Sistemleri taklit ettiler, yani sanal olarak yeniden oluşturdular, böylece yazılımı sanki gerçek bir uydudaymış gibi test edebiliyorlardı. “Genellikle incelediğimiz sistemlerden çok farklı bir dünyaydı. Örneğin, tamamen farklı iletişim protokolleri kullanıldı,” diye açıklıyor Thorsten Holz süreci.
Özel gereksinimleri olan sistemler
Dünya yörüngesinde dönen uydulara, yalnızca birkaç dakikalık bir zaman penceresi içinde Dünya’daki yer istasyonları tarafından ulaşılabilir. Sistemlerin uzaydaki radyasyona karşı dayanıklı olması gerekir ve az miktarda enerji tüketebildikleri için düşük güç çıkışına sahiptirler. Holz, uydu geliştiricilerinin karşılaştığı zorlukları ayrıntılarıyla anlatırken, “Veri hızları 1990’lardaki modemlerinkine benziyor”.
Araştırmacılar, yazılım analizinden elde edilen bulgulara dayanarak çeşitli saldırı senaryoları geliştirdiler. Örneğin uydu kamerasıyla fotoğraf çekmek için uyduları yer kontrolünden ayırabileceklerini ve sistemlerin kontrolünü ele geçirebileceklerini gösterdiler.
Thorsten Holz, “Teknik güvenlik seviyesinin bu kadar düşük olmasına şaşırdık” diyor ve olası sonuçlara ilişkin şu uyarıyı ekliyor: “Uyduyu başka bir konuma, örneğin çarpabilir veya diğer nesnelerle çarpışmasını sağlayabilirsiniz.”
Geliştiriciler
Araştırma ekibi, uyduları geliştiren ve inşa eden kişilerin güvenliğe nasıl yaklaştıklarını öğrenmek için bir anket hazırladı ve bunu araştırma kurumlarına, ESA’ya, Alman Havacılık ve Uzay Merkezi’ne ve çeşitli şirketlere gönderdi. Ankete 19 geliştirici anonim olarak katıldı.
Johannes Willbold, “Sonuçlar bize, sektördeki güvenlik anlayışının diğer birçok alandakinden farklı olduğunu, özellikle de belirsizliğe dayalı güvenlik olduğunu gösteriyor” diyerek sözlerini sonlandırıyor.
Bu nedenle yanıt verenlerin çoğu, sistemlere ilişkin hiçbir belge bulunmadığından, yani onlar hakkında hiçbir şey bilinmediğinden, uydulara saldırılamayacağını varsaydılar. Sadece birkaçı, uydularla iletişim kurarken verileri şifrelediklerini veya yalnızca yer istasyonunun uyduyla iletişim kurmasına izin verildiğinden emin olmak için kimlik doğrulama kullandıklarını söyledi.
Makalenin ortak yazarı Moritz Schloegel, “Ancak, belgelerin olmaması saldırılara karşı koruma sağlamaz” diyor.
“Günümüzde sistemler tersine mühendislik yoluyla çözülebilmekte ve güvenlik açıkları tespit edilebilmektedir. Bu nedenle projemizin amaçlarından biri, uzay uygulamalarının zorlukları ve bugün kullanımda olan güvenlik standartları konusunda karşılıklı bir anlayışı teşvik etmek için uydu ve güvenlik topluluklarını bir araya getirmekti,” diye sözlerini tamamladı Schloegel.