Le costellazioni di satelliti, commerciali e non, avranno un ruolo sempre più importante nella vita quotidiana di aziende e cittadini. Così la loro sicurezza cyber diventa un tema di crescente attualità.
Autore: Redazione SecurityOpenLab
Guidano le nostre gite fuori porta ma anche le migliaia di aerei in volo ogni giorno. Offrono connettività dove le reti convenzionali non arrivano. Monitorano l'ambiente. Sono indispensabili per il traffico globale di dati e informazioni, per scopi che spaziano dall'intrattenimento allo spionaggio. E con il debutto delle costellazioni commerciali di nuova generazione rappresentano una fetta crescente del business legato alla Space Economy. Parliamo ovviamente dei satelliti, senza i quali la nostra vita quotidiana sarebbe assai diversa da come oggi in effetti è.
Per decenni i satelliti sono stati cosa da agenzie spaziali, militari, consorzi internazionali e grandissime aziende: solo queste realtà potevano pensare di progettarli e metterli in orbita. Oggi lo Spazio si sta privatizzando, nel bene e nel male, e diverse aziende hanno in orbita costellazioni di satelliti con cui erogano servizi più o meno complessi. Conseguenza: molto più di prima, qualsiasi satellite è potenzialmente un bersaglio per qualche attore ostile che si muova per ragioni economiche come geopolitiche. Anche usando tecniche di attacco cyber, il che rende lo Spazio un nuovo dominio della cybersecurity.
Chi sono i potenziali attori ostili in questo dominio spaziale? Di sicuro - spiega ad esempio il Centre for International Governance Innovation nel suo report "Cybersecurity and Outer Space" - le principali nazioni che già hanno sviluppato, più genericamente, le capacità cyber per attacchi contro le infrastrutture critiche di altri Paesi. Queste capacità possono essere utilizzate contro i sistemi satellitari - per gli attacchi cosiddetti "counterspace" - anche se ci sono poche prove pubbliche che attacchi di questo genere siano già stati lanciati.
I threat actor non statali rappresentano una minaccia più limitata. Vero è che un numero crescente di loro sta attivamente "sondando" i sistemi satellitari commerciali alla ricerca di vulnerabilità simili a quelle dei sistemi IT classici. Ma ad oggi sono stati resi pubblici solo pochi attacchi di questi threat actor contro sistemi spaziali, e quasi tutti hanno colpito le reti a terra e non i satelliti stessi. Il fatto che ci sia una chiara tendenza verso una riduzione delle barriere di accesso per gli attacchi counterspace è comunque preoccupante.
Altrettanto da considerare è il fatto che le tecnologie satellitari stanno subendo una forte trasformazione, specie sulla spinta delle evoluzioni tecnologiche portate dagli operatori commerciali privati. Un satellite assomiglia sempre di più a un computer in orbita, con capacità di computing e di storage crescenti, componenti software-defined, tecnologie allineate a quelle IT tradizionali, collegamenti sempre più numerosi e performanti da e verso altri satelliti e stazioni a terra. Questa sorta di "consumerizzazione" dello Spazio porta vantaggi per le applicazioni che i satelliti supportano, ma aiuta anche ad aumentare la superficie di attacco dei sistemi satellitari.
Analizzare con precisione la natura e la portata dei possibili attacchi counterspace è difficile, avvisano gli analisti di sicurezza, perché la base di conoscenza da cui partire è limitata. Ci sono stati pochi attacchi cyber contro satelliti riconosciuti pubblicamente, e anche le informazioni su questi sono incomplete. Ciò che è possibile fare è trarre alcune conclusioni generali sulla base di una valutazione tecnica delle vulnerabilità note e dei casi conosciuti di loro sfruttamento.
Una prima categoria di possibili attacchi counterspace consiste nell'installazione deliberata di backdoor in prodotti hardware o software, cosa resa possibile da falle nella sicurezza delle supply chain globali. Tali backdoor sono state tra l'altro individuate in dispositivi elettronici cinesi e pacchetti software russi utilizzati da aziende aerospaziali statunitensi. E gli Stati Uniti non fanno eccezione, come testimonia lo storico caso Snowden. Operazioni simili di spionaggio informatico possono essere dirette contro produttori di satelliti, fornitori di componenti, fornitori di servizi di lancio e società di telecomunicazioni. L'infiltrazione fisica, l'ingegneria sociale e la penetrazione nelle reti di questi obiettivi possono fornire l'accesso agli schemi di progettazione, ai componenti fisici e ai pacchetti software di un determinato satellite.
La seconda categoria di attacchi cyber contro i sistemi satellitari mette nel mirino i collegamenti tra i satelliti e le stazioni di controllo a terra. La maggior parte di questi attacchi sono di tipo man-in-the-middle: l'aggressore si inserisce tra il mittente e il destinatario, per intercettare le informazioni trasmesse o addirittura per modificarle. È anche possibile, sebbene più difficile, lanciare un attacco contro il link satellitare di comando e controllo: se un attacco di questo tipo ha successo, i danni che può causare sono praticamente illimitati. Prove pubbliche di questi attacchi sono poche, ma ci sono. Il caso più significativo riguarda in particolare due violazioni, nel 2008, dei link di comando e controllo del satellite di osservazione "Terra" della NASA: è stato riportato che gli attaccanti avevano raggiunto, in entrambi gli attacchi, la capacità di inviare comandi al satellite, capacità che però non avevano sfruttato.
Il bersaglio di una terza categoria di attacchi counterspace sono le stazioni terrestri di comando e controllo o di trasmissione dei dati satellitari. Per violare i loro sistemi si possono usare le normali tecniche di attacco informatico, ma le ipotesi di attacco possono comprendere anche il wiretapping delle reti cablate, l'interruzione o il dirottamento dei segnali radio "leciti" mediante apparecchiature di trasmissione che utilizzano un segnale più potente, persino il sorvolo con droni o l'intrusione fisica nei centri.
Ovviamente le basi satellitari di comando e controllo sono particolarmente protette e le parti più critiche delle loro reti sono anche air-gapped. Ciononostante, esistono casi noti in cui sofisticati threat actor hanno cercato di penetrare tali sistemi. Il caso più celebre è quello del gruppo Thrip, probabilmente appoggiato dalla Cina, che secondo Symantec ha cercato di violare sia i software di comando e controllo degli operatori satellitari, sia i software GIS impiegati per creare applicazioni geospaziali o per integrare dati di posizione in altre applicazioni, sia i software per l'elaborazione di immagini satellitari.
Va peraltro ricordato che le aziende che raccolgono ed elaborano dati provenienti dai satelliti sono sempre state un boccone ambito per diversi threat actor. Negli anni, le violazioni hanno riguardato organizzazioni anche di grande rilievo, come la NASA o il Jet Propulsion Laboratory. Queste violazioni non costituiscono un attacco diretto alle costellazioni satellitari, comunque disturbano o impediscono la gestione delle informazioni che esse generano.
Un'ultima categoria di attacchi counterspace riguarda il segmento utente di un sistema spaziale, prevalentemente i terminali o i dispositivi usati per ricevere o elaborare i segnali satellitari. Questi attacchi sono molto simili agli attacchi cyber contro un generico dispositivo IT e si basano sullo sfruttamento delle vulnerabilità hardware o software dei dispositivi stessi. Qui la casistica è molto ampia, anche perché - purtroppo prevedibilmente - i device di comunicazione per settori specifici sono stati per lungo tempo progettati senza una adeguata attenzione alle caratteristiche di cybersecurity.
Ci sono anche casi che hanno dimostrato come questa attenzione sia dolorosamente nulla. Di recente, ad esempio, è stato dato ampio risalto al fatto che alcuni ricercatori della Università di San Diego hanno usato una semplice antenna satellitare consumer per intercettare le comunicazioni "grezze" di una quarantina di satelliti geostazionari. I ricercatori hanno così scoperto che buona parte di queste comunicazioni non erano cifrate, e hanno quindi potuto consultare di tutto: chiamate cellulari sulla core network di operatori mobili (in backhaul via satellite), comunicazioni VoIP anche militari, traffico Internet dei servizi WiFi negli aeromobili, dati e credenziali di aziende che fanno transitare via satellite parte delle loro reti, comandi di controllo delle reti SCADA di aziende con impianti distribuiti.
La teoria della cybersecurity ci insegna che per un attacco ben riuscito servono quattro elementi: un accesso potenziale violato, almeno una vulnerabilità da sfruttare, un payload ostile efficace, un sistema di comando e controllo. Questo vale anche per i sistemi satellitari, e gli osservatori ci dicono che i loro punti vulnerabili principali - la supply chain dei componenti hardware e software, le infrastrutture a terra, il segmento utente, i satelliti stessi - sono sempre più bersaglio di una gamma in rapida crescita di strumenti e tecniche di attacco multilivello.
Le capacità di difesa cyber sono quindi oggi di fondamentale importanza per il comparto Spazio, e non a caso il CIGI cita nel suo report un ex alto ufficiale militare americano secondo cui le vulnerabilità informatiche sono la “minaccia spaziale numero uno”. E le cose possono solo farsi più complesse, perché ci sono tutte le ragioni - finanziarie e geopolitiche - perché threat actor di varia natura e dimensione sviluppino una gamma completa di capacità antisatellite. A maggior ragione gli Stati-nazione, tanto che negli ambienti militari è già opinione diffusa che la cybersecurity sia ormai un sottoinsieme delle tecniche di guerra elettronica.