從美國報告看無人機網絡安全
2020年3月5日,美國蘭德公司發布報告《如何分析無人機構成的網絡威脅》,研究無人機快速增長對網絡安全造成的影響,然后為國土安全部應對這一威脅做出分析并提出建議。
報告探索了無人機快速增長對網絡安全影響的方法以及建模,特別關注當前的漏洞和未來的發展趨勢。報告提出了一些概念性方法,旨在對與無人機相關的網絡威脅進行列舉和分類,并探索對商業無人機威脅進行建模的潛在益處和挑戰。
一、報告主要內容
報告稱,隨著無人機系統的發展和普及,其安全威脅的幾率和潛在后果都在增加,自主分析、無人交通管制、無人機蜂群、人工智能和區塊鏈等新興技術的發展也將繼續增加無人系統領域的復雜性。報告提出同時從盟友和對手的心態來考慮當前和未來的無人機威脅,前者側重于發現無人機相關系統中的漏洞,后者則關注如何成功地攻擊無人機系統,該方法能夠對與無人機目標/武器相關的網絡威脅進行分類,從而幫助決策者更好地理解空域環境。報告還介紹了無人機發展的行業趨勢及其對網絡安全的影響,并探討了使用建模與仿真技術來描述威脅,以及幫助識別與防御惡意行為體的解決方案。
報告從美國土安全部的角度,考慮了與無人機系統相關的網絡安全威脅。美海岸警衛隊、海關與邊境保護局、聯邦緊急事務管理局和網絡安全域基礎設施安全局都是需要在日常任務中使用無人機的國土安全部組成單位,而這些部門擁有大量的敏感數據和無線網絡,其使用的部分無人機系統由商業公司開發,它們容易成為無人機的攻擊目標,還可能通過無人機向國土安全部機構的數據和無線網絡注入蠕蟲、數據滲透攻擊或其他攻擊,從而降低情報、監視和偵查能力;影響其他直升機或無人機的飛行活動;降低檢查關鍵基礎設施的能力,甚至受到網絡物理攻擊后破壞其關鍵基礎設施。
報告為國土安全部提出四點建議:
一是通過報告介紹的方法來理解針對無人機系統的網絡攻擊途徑和無人機的受攻擊面。
二是與高層決策者、網絡安全專家以及其他政府機構和執法機構合作,制定統一連貫的無人機網絡戰略,包括對無人機平臺進行分類,了解無人機相關網絡攻擊的潛在后果與緩解措施,并密切關注可能改變威脅空間的新技術發展。此外,國土安全部應與私營部門、國家實驗室以及其他政府利益相關者合作投資營運無人機測試靶場,以確保工業界遵守安全協議并促進機構間協調。
三是優先處理最關鍵的漏洞,找到關閉攻擊途徑、保護受攻擊面的方法。國土安全部需要監控反無人機系統的技術發展,對新興的攻擊技術進行試驗,并開發協調、可更新的監控和干預系統。
四是監控無人機的使用,并預測無人機廣泛應用產生的影響。自主飛行和集群等功能將拓寬無人機的應用空間,合法使用的無人機數量也將隨之增加。在這種無人機密集的新環境中,最重要的任務之一將是區分合法活動和非合法活動。
二、無人機系統面臨的網絡安全威脅日益加劇
隨著信息通信技術的飛速發展,學術界和工業界對無人機展現出了極大的關注,其相關技術也越來越成熟。無人機具有成本低、體積小、重量輕、易操縱、高度靈活性、高度適應性、安全穩定性和便于隱蔽等優點,因此在處理影視拍攝、農業監測、自然災害、事故災難以及社會安全事件等方面發揮著重要作用。同時,無人機也可以作為無線傳感器網絡中繼以及空中移動基站等。
中國在民用無人機領域已經走在世界的前列,據路透社報道中國無人機制造公司大疆創新在消費級無人機領域的市場占有率達70%,特別是最近幾年的無人機市場規模保持每年約50%的高速增長態勢,預計到2020年全球無人機年銷售量將達到433萬架。據估計到2021年,無人機的銷售將超過120億美元。
隨著無人機業務的不斷發展,無人機越來越先進,無人機的網絡安全問題顯得異常突出。由于無人機及其通信結構的特性,當攻擊者截獲通信信息或者劫持無人機本身時,都會給使用者和周圍環境帶來嚴重的后果。2019年11月美國司法部發布了無人機修正法案,旨在取代2015年的政策指南。新政策在保留原有法案的多數規范和法規的同時,新增了一些關鍵內容以解決對網絡安全和隱私的擔憂。新版本的政策要求評估無人機的網絡安全風險,防范供應鏈和司法部網絡的潛在威脅。該政策還特別提及從攝像頭和傳感器收集的信息,并表示將權衡政府的利益與潛在的侵犯和對隱私和公民自由的影響。新政策仍然要求對無人機使用年度隱私審查。美國無人機法律的更新表明無人機網絡安全在未來安全風險中占重要地位,利用網絡開展無人機攻擊將成為趨勢。
當前無人機面臨著各種各樣的威脅:無人機數據鏈和各種機載傳感器要防止外部信號和代碼等各種方式的侵入,人員及惡意代碼也是侵入無人機計算機網絡的途徑。由于系統變得更加復雜,使系統拒絕服務攻擊變得更加容易,同時惡意代碼對系統造成更大影響,如通過某些代碼接管某些功能。另一方面的威脅是敵方試圖偷偷侵入無人機收集的數據并將數據取走,如侵入視頻饋送通道竊取視頻。
三、無人機攻擊的主要形式
無人機系統主要由三部分組成,包含無人機、地面站以及傳輸信息的通信鏈路組成。其中,無人機部分包含動力系統、主控制器、通信鏈路模塊、傳感器、任務執行單元。地面站部分包含遙控器、智能終端、通信鏈路模塊。控制命令通過地面站傳輸到無人機,無人機采集的數據及其運行數據也會傳輸到地面站。目前對無人機的常見攻擊包括無人機通信鏈路攻擊、GPS攻擊和針對傳感器網絡及飛行軟件管理系統的攻擊等。
3.1 無人機通信鏈路攻擊
一般來說根據傳輸的信息類型的不同無人機包括三種通信鏈路,分別為無人機與地面站之間的通信鏈路,衛星通信鏈路和無人機到無人機通信鏈路。無人機與地面站之間的通信鏈路傳輸遙測信息視頻和音頻等數據,衛星通信鏈路傳輸GSP信號氣象信息等,無人機與無人機的通信鏈路是無人機網絡的重要組成部分,用于無人機間的數據交換。
無人機通過通信鏈路接受指令或者傳輸信息,一旦通信鏈路受到攻擊,就好像封閉了無人機的“耳朵”。攻擊無人機通信鏈路可能采取多種方式。例如,通過破壞無人機的通信信道,可能對數據進行非授權的修改,從而隱藏控制指令或者測控數據中的某個變化,從而破壞其數據的完好性。攻擊者通過發送注入錯誤的引導數據,破壞其保密性。而通過信道干擾或破壞安全路由的方式,則可以破壞其通信的可用性。
無人機通信鏈路攻擊方式大致分為3層:信號層、協議層以及系統層。信號層攻擊主要是對傳輸信道的跟蹤和信號收發的破解等方面的對抗;協議層攻擊則通過通信協議規程的識別、分析協議自身和實現存在的漏洞,從而進行對抗;系統層攻擊則主要研究對操作系統、各種應用軟件的攻擊方法。信號層的對抗需要準確的通信協議規程才能完成,而協議層對抗則需要通過信號層的調制和系統層的控制才能完成,系統層則需要另外兩層提供物理途徑。
目前,對無人機通信鏈路的攻擊主要有:
竊聽攻擊:由于缺乏加密和其他保護機制,在開放環境中交互的無人機信息可由敵方直接訪問。
信息注入攻擊:如果沒有適當的身份驗證方案,對手可以偽裝成一個合法實體來注入虛假信息或命令。其中一類就是中間人攻擊,攻擊者作為無人機和遠程遙控器的中間者,可以竊取并篡改通信信息。
拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS):如果沒有適當的DoS/DDoS防御機制,單個或許多被劫持的系統攻擊目標無人機,從而導致無人機拒絕為其合法用戶提供服務。
洪泛攻擊:通常發送大量的SYN、UDP、ICMP和Ping包造成網絡的擁塞,緩沖區溢出攻擊迫使網絡設備的緩沖區溢出,使網卡無法接受新的請求。
干擾攻擊:發射大功率多頻段的無線電干擾無人機的通信,或者利用WIFI通信的脆弱性,解除無人機和地面站之間建立的通信連接。
對無人機通信鏈路的攻擊可以直接影響無人機的正常運作,乃至獲得無人機的控制權,成功入侵無人機并取得完全權限,不僅可以控制無人機的飛行功能,而且可以任意瀏覽、拷貝、篡改無人機上存儲的數據。早在2015年GeekPwn的開場表演項目中,一架正在空中飛行的大疆精靈3代無人機在幾分鐘內被“黑客”利用一系列漏洞成功劫持。“黑客”利用通信所用跳頻序列太短并且在出廠時已經固化等弱點,奪得了無人機的控制權。
美國土安全局為確保無人機和地面人員之間的通信安全,提供了一些有價值的應對策略,確保無線網絡和設備的安全,可以最大限度地減少可能被利用的漏洞。這些應對策略應該遵循深度防御原則,包括及時安裝更新和補丁、更改默認密碼、限制訪問、加密數據和安裝基于主機的防火墻。除了確保無線網絡和設備的安全,營運商還可以確保其無人機只具有最低限度的必要權限,將訪問其他網絡的權限降到最低并加密數據。
3.2 GPS攻擊
無人機主要依靠GPS系統實現導航定位,一旦受到攻擊,就好蒙蔽了其“眼睛”,達到致盲的效果。今天, GPS已經從一種單一的定位系統發展為無所不在的、備受信賴的定位導航與授時數據源。當前GPS所面臨的安全威脅主要包括GPS干擾和GPS欺騙。GPS干擾就是對GPS接收機施加干擾信號,使GPS接收機無法接收到真實的GPS信號,從而無法獲取位置信息和時間信息。而GPS欺騙則是通過偽造或者重放GPS信號的方式,使GPS接收機接收偽造或者重放的GPS信號從而使GPS接收機解算出錯誤的位置和時間信息。GPS欺騙從信號的產生方式上可以分成轉發式GPS欺騙和生成式GPS欺騙兩類。轉發式GPS欺騙首先將真實的GPS信號錄制下來然后再將其發射給GPS接收機,從而使GPS接收機解算出錯誤的位置和時間信息。生成式GPS欺騙是通過特定的程序生成特定位置和時間的GPS欺騙信號,發射給GPS接收機,然后GPS接收機接收并解析GPS欺騙信號,從而使GPS接收機解算出錯誤的位置和時間信息。由于民用GPS信號的加密算法和檢驗矩陣的算法都已經公開,因此對于按照這些算法生成的GPS信號是無法通過這些算法來檢測欺騙的。生成式GPS欺騙就是根據已經公開的GPS信號的信號結構擴頻碼和調制方法以及加密和檢驗矩陣的算法偽造出特定的GPS信號,然后根據要發射的欺騙點的位置、GPS衛星的位置推算出每個GPS信號從GPS衛星發出到被GPS接收機接收所需要的延時,再根據這些延時發射各個GPS信號。當接收機接收到GPS欺騙信號的時候,GPS接收機會根據三球定位原理來解算定位方程,由于延時都已經被設計好,所以GPS接收機就會被欺騙。
對GPS攻擊技術進行研究,一方面可以提高民用無人機對GPS欺騙攻擊的抵抗能力,保障無人機的穩定性與安全性;另一方面可以利用該技術實現對民用無人機的管控,阻止非法無人機進入軍事區域、機場、監獄等敏感區域。
3.3 針對傳感器網絡的攻擊
無人機通常作為一個節點和其他無人機或傳感器一起構成無線傳感器網絡。因此,無線傳感器網絡中節點暴露、脆弱、無人監管等弱點也可被用于攻擊無人機。在數據層面上,無人機傳輸的數據如果缺乏有效的安全措施,攻擊者就能夠通過捕獲傳感器傳輸的數據,對數據進行分析或解密,來獲得無人機收集的大量信息。在網絡層面上,對傳感器網絡的攻擊手段,如拒絕服務攻擊、對傳輸消息的攻擊、女巫攻擊、黑洞/污水池攻擊、Hello洪泛攻擊、蟲洞攻擊等都可以應用于破壞無人機與其他設備或無人機群之間的通信。由于無人機傳輸信息容易被監聽,且其用于通信的資源有限,攻擊者如果有足夠的處理資源,很容易中斷、攔截、篡改通信數據分組,發動對傳輸消息的攻擊。而針對無人機群,攻擊者可以假冒為多出的節點發動女巫攻擊。針對這些攻擊,可以使用傳感器網絡加密算法、安全協議、安全路由等技術進行抵御。除此之外,密鑰管理、身份認證、入侵檢測、信任管理等安全技術也可應用于無人機上,提供必要的安全性。
3.4 針對無人機飛行軟件管理系統的攻擊
無人機軟件包括主控制器軟件和地面站軟件。對無人機軟件的威脅主要有病毒.惡意軟件、木馬和鍵盤記錄器等,病毒會大量感染導致系統癱瘓,破壞無人機的可用性,木馬和惡意軟件主要破壞無人機的保密性。無人機軟件的威脅源可能有多個,例如智能終端安裝了被捆綁了木馬的主流軟件,而此智能終端又被作為地面站使用;攜帶病毒軟件的可移動存儲介質插入到了地面站上等。因此,最好的防護方法就是防患于未然,切斷惡意軟件的入侵途徑。可以采取的措施有:使用專用設備作為地面站,不和其他用途的設備混淆使用;安全性未知的設備禁止接入無人機和地面站;定期使用殺毒軟件對無人機和地面站的系統進行掃描,若發現惡意軟件,及時查殺。
無人機飛控軟件安全技術是近幾年才興起的新技術,傳統的軟件安全都是從執行機的角度來分析,而現如今的飛控技術主要通過將傳感器與執行機進行相聯來完善整個體系,同時從所連接的傳感器的角度來分析不同的攻防情況,可以預見未來飛控軟件安全發展趨勢是朝更高速更完備的方向發展。
四、利用無人機發動網絡攻擊
無人機除了自身容易受到攻擊外,本身也可以被用于作為發動網絡攻擊的武器。無人機按照其網絡攻擊性能,可以分為干擾型無人機、竊聽型無人機、防御性無人機。
干擾型無人機:美國-意大利科技軍事承包商Selex Glileo公司設計了一種小型無人機,專門用于電子產品戰爭和網絡攻擊。其設計主要目的是要干擾地對空導彈系統。無人機可以干擾目標的通訊系統,如藍牙或Wifi信號。還可以控制自殺式導彈;電子作戰設備在遇襲被毀前會自動刪除其存儲的資料。
竊聽型無人機:以色列公司Septier Communications于2017年發布了首個竊聽電話和智能機數據傳輸的無人機。該無人機配備了網絡監聽器,可以監聽2G、3G和4G網絡的數據。此無人機的最大監聽范圍達一公里,這意味著它無法被其監聽目標物理檢測出來。此無人機極有可能利用貼近式降級攻擊,迫使高安全網絡中的設備降低安全等級,如從4G降到2G。這時無人機不是無人飛行交通工具,而是用于物理監聽或攻擊的高端攝像頭。
防御性無人機:隨著軍用無人機市場的走高,作為平衡力量的反無人機市場也應聲而起。以色列公司2015年銷售的CyberBox無人機可偵測設備邊界周邊的無人機,并獲得其控制權。通過維護一種無線電頻率干擾武器,可對無人機實施Dos攻擊或利用零日漏洞攻擊,直至完全控制敵方無人機。
利用無人機設備漏洞或網絡攻擊可造成數據泄漏、無人機劫持操控等危害。然后,其安全威脅遠不止于此。根據國土安全局的報告,商用無人機很容易被利用,因為操作員需要通過無線、WIFI或GPS等非加密手段與其進行通信。這會導致惡意行為者攔截發送到無人機和從無人機發送的數據。安全分析人士已經證明了無人機能夠在其飛行軌道上被劫持和控制,包括商用和應急響應無人機。一旦無人機被劫持,這些惡意活動者可以從無人機上獲取數據,包括飛行軌跡和任何拍攝的圖像或視頻。更糟糕的是,他們還可以控制無人機的活動,對附近的飛機和人員造成人身威脅。
利用無人機的漏洞可以對重要基礎設施的網絡和設備進行物理訪問。從因范圍限制而無法通過其他方式訪問的系統中提取信息。無人機某種程度上還能為入侵者掩蓋身份。此外,研究人員在其最近的報告中強調了無人機滲透高度安全的重要基礎設施的風險。研究人員證明,無人機可以用于無線入侵接入點、不安全網絡和設備。例如,2016年,以色列的研究人員在一座辦公大樓附近操縱無人機,利用名為ZigBee的無線電協議中的缺陷,入侵了大樓內的智能燈泡。
五、美國提出無人機中國威脅論
早在2017年,美國就掀起了無人機威脅論這波浪潮,矛頭直指中國。2017年8月,美國陸軍甚至下令停用所有中國企業生產的無人機,并指責這些產品存在網絡安全漏洞。2019年5月,美國國土安全部又警告稱,中國無人機可以向制造商傳輸飛行數據,從而有可能被政府部門獲取。因此,無人機是信息基礎設施的潛在風險。美國以網絡安全為幌子,鼓吹無人機威脅論,一方面這是國家間相互打擊的政治手段,無人機網絡安全重視程度日漸攀升,夸大中國無人機的安全威脅,對中國進行打擊。另一方面,美國的這種行為,也側面體現出對中國無人機技術進步的一種恐慌,中國無人機技術快速發展,我們在面對他國質疑之時,無需畏懼,應該更加自信,相信國家技術的蓬勃發展,但同時也要警惕未來無人機成為網絡攻擊武器的風險,無人機在未來網絡空間的應用和挑戰只會更加復雜。
六、小結
隨著制造成本的降低和技術發展和成熟,無人機正逐步走向大眾消費級市場。無人機在給人們生活帶來便利的同時,也面臨日益嚴峻的安全問題。而隨著信息技術的不斷發展,無人機受到的安全威脅也在不斷變化,因此安全防護措施也必須更新,需要不斷地對無人機網絡安全進行評估,找到新的應對措施。
