Чи зламали Starlink російські хакери?

Володимире, розкажіть про вашу ініціативу: з чого все почалось та на що зараз направлена ваша діяльність?

На початку вторгнення я, як і чимало інших волонтерів, займались дуже багато чим, шукаючи шляхи ефективної допомоги й захисникам України, і біженцям... Я мав досить великий досвід волонтерства ще з вторгнення 2014 року - це давало мені змогу більш-менш прогнозувати ситуацію. Я розумів, що мій внесок має бути в тім, що вмію робити найкраще. Наразі я Senior Systems Architect, ІТ спеціаліст із більш ніж 35 річним досвідом, Microsoft Certified Trainer з 2004 року й у попередніх волонтерських проєктах досягав досить гарних результатів у впровадженні ІТ технологій в військове використання.

Незадовго до вторгнення я зацікавився новинкою від Ілона Маска - супутниковим зв’язком Starlink, для себе - як зручним рішенням для мандрів світом без відриву від роботи. Розуміння критичної важливості зв’язку для військових було ще з попередніх волонтерських проєктів, в котрих впроваджував, між іншим, і доступні рішення супутникового зв’язку того часу - ViaSat та подібні. До речі саме такі засоби зв’язку успішно нейтралізували кіберфахівці окупантів на початку вторгнення.

Отже, для початку я власним коштом замовив перші комплекти, почав вивчати та відправляти на фронт. Вдалось сконтактувати із менеджментом SpaceX та отримати дозвіл купляти як фізично особа необмежену з їх боку кількість - для фізичних осіб ціна була тоді суттєво нижчою ніж для фірм та організацій. Заодно з’явились певні можливості розв'язувати деякі питання із SpaceX в інтересах ЗС України.

Далі було море закупівлі, логістики, розподілення, доукомплектації іншим потрібним обладнанням. Було дуже багато питань від захисників - і користувачів, і фахівців. Досліджував та відповідав. Був такий собі щоденний blackbox reverse engineering. Почав робити мануали, проводити щось на зразок відкритих та закритих семінарів для захисників та формувати Базу Знань для підтримки. Написав перший посібник для навчального курсу.

Насправді тоді довелось одночасно рухатись в дуже багатьох напрямках - від пошуку заміни картонних коробок для транспортування розробки та виробництва тактичних кофрів для спецпризначенців, діагностики та ремонту, навчальних матеріалів та підтримки, до розробки різноманітних рішень для модифікацій та досить глибокого reverse engineering.  Знайшлось чимало однодумців. Почала формуватись потужна команда.

Десь невдовзі від початку зі мною на зв’язок вийшло ще й Командування Військ зв’язку та кібербезпеки ЗС України із декількома конкретними питаннями та запитами - шукав відповіді та рішення, стукався до команди Starlink в SpaceX, бувало й сварився та мирився із командою Мінцифри :)

Але головне - налагоджувалась ефективна робота із командуванням Сил Оборони України. Терміналів Starlink ставало все більше, як і їх користувачів. Десь тоді вже став Радником Командувача Військ зв’язку та кібербезпеки ЗСУ. Провели розбудову штатних служб підтримки Starlink в ЗСУ, ДПСУ та інших структурах Сил Оборони України.

Зараз наша команда працює в основному в напрямках освіти, підтримки, ремонту, модифікації та адаптації обладнання, прогнозування та реакції на інциденти, покращення кібербезпеки. Для цього всього довелось розробляти власний software та навіть деякі майже SaaS рішення. Буває неймовірно важко, але ми робимо те, що майже ніхто інший на планеті не робить. 

Це все ми досі робимо на волонтерських засадах, маючи кожний іншу роботу, котру ніхто ніколи не відміняв. Це буває не просто само по собі. Але за півтора року ми все ще не зупинялись ні разу. 

 

На скільки велика ваша команда?

Якщо брати ядро команди - це може менш як десять людей. Вибач, з міркувань безпеки не можу давати точну відповідь, але якщо рахувати залучених у всіх наших проєктах волонтерів, то скількись там десятків набереться точно - багато й інженерних, і адміністративних задач. 

Народний Starlink це ще й ком’юніті, відкриті та закриті. Якщо говорити про групу Народний Starlink в Facebook, наприклад, то її наразі відвідує щомісяця десь 130 000 людей, хоча зареєстрованих учасників десь вдесятеро менше - військова аудиторія звісно ж не буде активно реєструватись в публічних ком’юніті. Закриті непублічні ком’юніті, у т.ч. партнерські, залежно від проєктів, є на десятки, є на сотні, а є й на тисячі людей. 

 

Чи плануєте ви розширювати свою діяльність на інші країни, адже супутниковий зв’язок зараз набуває популярності й ваші напрацювання могли б стати корисними для країн-партнерів?

Всю нашу команду від самого початку об’єднує бажання прискорити перемогу та звільнити нашу країну від військ загарбника. Це наша мета, і вона не має жодної комерційної складової. Але наразі ми також розуміємо, що отримали досить високий експертний рівень в декількох областях, який може бути потрібний і іншим країнам. Тому ми наразі вивчаємо різні можливості, у т.ч. задля фінансування для наших проєктів та діяльності. 

Наприклад наша команда лише на ремонт терміналів витрачає тисячі доларів власних коштів щомісяця. Дрібні донати від людей вже не завжди можуть наповнити потрібні бюджети витрат. З великими донатами та донорами зараз все дуже не просто, тому ми вважаємо що певна монетизація нашої командної експертизи - цілком можливий та потрібний крок. І в нас є певні ідеї. 

Недавно ми зробили публічно доступним наш посібник по Starlink для курсу військового користувача українською мовою. Це, по суті, перша на планеті книга-путівник по Starlink, майже на триста сторінок. Вже готується наступна редакція. Вже зараз технологіями та обладнанням Starlink цікавляться збройні сили Японії, Румунії, Польщі. Будуть і інші. Ми готові розглянути пропозиції видання посібника різними мовами, чи навіть адаптацію під різні потреби замовника або розробку авторського навчального курсу, якщо це нам дозволить покращити фінансування потреб наших волонтерських проєктів та наближення перемоги.

Також в нас є свої унікальні спеціалізовані програмні рішення для діагностики обладнання та підтримки користувачів. Наприклад перший на планеті альтернативний додаток для діагностики терміналів Starlink. Впевнений, що такі рішення теж будуть потрібними багато де.

Ну і звісно - ми маємо унікальний та великий досвід військового застосування Starlink в умовах сучасної війни. Арміям країн-союзників України це може бути цілком корисним. Особливо у питаннях дій в умовах, коли твій противник має дуже багато високотехнологічних засобів РЕБ та РЕР, сучасні кіберзасоби та потенціал, котрий не варто недооцінювати.

 

Нещодавно СБУ опублікувала звіт, в якому надається  інформація про спробу хакерів зчитати дані з термінала Starlink. Чи могли б Ви пояснити з технічної точки зору про що саме йде мова?

 

 

Так, це перший в історії зафіксований випадок створення шкідливого програмного забезпечення (ШПЗ) саме для зчитування всіх взагалі доступних даних з терміналів Starlink. СБУ опублікувало відповідний звіт 08.08.2023. 

Саме по собі ШПЗ, котре у технічному звіті зазначено “STL” як 4-та компонента з усіх задокументованих у ньому, є по суті таким собі gRPC сканером, котре пробує зчитати всі доступні дані з сервісних хостів термінала та WiFi роутера Starlink в локальній мережі. Ці сервісні хости наразі завжди мають статичні IPv4 адреси: термінал - 192.168.100.1 та роутер - 192.168.1.1. Більшість добутих таким чином даних доволі мало корисна типовим цивільним зловмисникам. Але якщо це дані з пристрою зв’язку бойового підрозділу…

Наразі зловмисникам могла стати доступною загальна конфігурація термінала, телеметрія, інформація про WiFi/LAN мережу (включно із SSID, BSSID та MAC адрес всіх інтерфейсів роутера) та ідентифікатори мережевих пристроїв. У випадку активного використання оператором термінала режиму “Allow access on local network”, котрий по замовчуванню неактивований, навіть поточні географічні координати термінала. Отже, це критично цінні розвіддані в умовах війни.

Що до створення самого ШПЗ - технічно це нескладний та доволі передбачуваний крок - існує вже чимало Open Source проєктів зі складнішим функціоналом. Отже, авторам цього ШПЗ було доволі не складно сформувати та протестувати потрібний програмний код. Навіть більше - наступним кроком з боку таких хакерів буде скоріш за все код, котрий зможе деструктивно втручатись у роботу термінала. На жаль, це наразі досить реальна загроза - підвищеному ризику втручання підлягають всі функції управління, котрі наразі не вимагають авторизованого доступу користувача - паркування АФР, перезавантаження роутера чи термінала, та т.п., якщо доступ до сервісного хоста терміналу не заблокований на мережевому рівні.

На мій особистий погляд, спеціалісти компанії SpaceX вже досить давно розуміли, що поточний дизайн їх обладнання має певні концептуальні вразливості - дуже не просто зробити повністю захищений пристрій з таким функціоналом, одночасно дотримуючись принципу “щоб з цим міг працювати навіть бабуїн, і не зламати”, і не йти при цьому на певні компроміси. Але не маю сумнівів, що в SpaceX придумають як підняти рівень захисту. 

Ми повідомили відповідних фахівців команди Starlink відразу, як отримали інформацію про цей інцидент. Також ми надали свої рекомендації щодо першочергових можливих кроків для покращення захисту, котрі наша команда вважала за найбільш ефективні. 

Команда Starlink вже не раз швидко та якісно реагувала на наші запити й пропозиції. Разом ми змогли вирішити чимало проблем за останній рік. Серед них і дуже ефективні дії для захисту від ворожих засобів РЕБ, і дуже корисні для українських захисників функції кібербезпеки. Я впевнений, що і цього разу вони створять гарне та елегантне рішення цієї “наземної” проблеми.

Мене особисто втішає, що із “повітряними” (між терміналом та супутником) та “космічними” (між супутниками сузір'я) проблемами у команди Starlink все дуже добре. Вони дійсно розробили чудовий витвір інженерного мистецтва.

 

Які б рекомендації ви могли  дати компаніям які працюють у сфері Space Tech щодо security вектору їх продуктів?

Я досить “приземлена” людина, відносно всього сегмента технологій Space Tech. Тобто я, як фахівець, більше сфокусований на “наземні” глобальні та локальні  ІТ інфраструктури, IoT та Системну Інтеграцію. Але і зі свого кута зору дещо можу виділити відносно “банального” супутникового зв’язку…

Спробую навести лише три порівняння, без довгого і нудного аналізу. Думаю кожен, з аудиторії вашого видання зможе проаналізувати їх по своєму ;)

З одного боку - успішні кібератаки 23.02.2022 які перетворили на цеглини купу пристроїв Viasat, попри те, що вразливість була відома задовго до цього. З іншого - жодного масового виходу з ладу терміналів Starlik, котрі отримують оновлення firmware інколи по декілька разів на тиждень. І мережа, котру досі не змогли зламати жодні з тих відомих сил, котрі вважають одними з найпотужніших у таких речах.

З одного боку - класичні та дуже дорогі схеми впровадження нових продуктів та послуг, де термінал супутникового зв’язку коштує інколи до декількох сотень тисяч доларів, а служба підтримки користувача “здатна задовольнити будь-кого та будь-коли”. З іншого - номінант “найгірша служба підтримки користувачів року” за версією PCmag, але продукт, котрий на декілька порядків дешевший та у декілька разів перевищуючий за технічними параметрами практично всіх конкурентів. При всьому цьому дозволяє надійно та ефективно вести оборону у найбільшій для Європи війні цієї технологічної епохи з активним фронтом понад 1500 км, із безпрецедентно масовим застосуванням зі сторони агресора найкращих на планеті засобів РЕБ. 

З одного боку - набір вже давно зрозумілих багатьом відомих технологій, але побудованих на таких стародавніх та одіозних стандартах, що без фахівців із навичками ІТ-археології скоро буде неможливе майже будь-яке оновлення системи, не кажучи вже про динамічний кіберзахист. З іншого - нативний IPv6, передові технології шифрування, апаратна інтеграція захисту ключів шифрування, безпрецедентна технологічна гнучкість та т.п., затиснуті в концепцію “щоб зміг скористатися, але не зламати навіть бабуїн” та не містить в коробці взагалі жодного мануала від виробника, крім однієї єдиної картинки на великому аркуші.

Думаю кожний тут побачить щось своє, у т.ч. з точки зору кібербезпеки. Але на мою думку, варто подумати, яку роль у кожному з елементів наведених порівнянь грає менталітет? Менталітет менеджерів, архітекторів, інженерів та звісно користувачів…

Отже, правила гри будуть мінятись набагато швидше, ніж це відбувалось раніше. Та й потім швидкість змін буде зростати. Все, що хтось вчив вчора в коледжі чи університеті, у т.ч. з технологій чи кібербезпеки, буде вже завтра оновлюватись швидше, ніж якісно документуватись для вивчення. І це вимагатиме певних нових підходів і в технологіях, і в менеджменті, і в дизайні…

Ця війна наглядно демонструє нам, що не обов’язково перемагає той, у кого більше ресурсів. Сучасні події в ІТ індустрії демонструють нам, що не обов’язково мати “периметр безпеки” задля забезпечення мережевої безпеки в хмарних сервісах. А технічна еволюція може вже завтра показати, що не обов’язково мати GNSS приймач, задля визначення координат та реального часу. Питання, на котре варто завжди мати відповідь - чи я готовий сприймати нову реальність?