I sistemi spaziali sono esposti a molte forme di attacco, tra cui quelle orbitale, cinetica ed elettronica, ma sono anche vulnerabili alle minacce informatiche. Gli attacchi informatici possono colpire diversi segmenti del sistema spaziale, come lo spazio, i canali di comunicazione e sistemi di terra, e sono spesso ignorati nella considerazione delle minacce informatiche alle infrastrutture critiche.
Vediamo che cosa comporta questo per i satelliti in orbita, che vengono impiegati quotidianamente per le previsioni meteorologiche, le comunicazioni e il GPS.
In che misura i satelliti sono esposti alle minacce informatiche?
I satelliti sono più esposti di quanto si possa immaginare. Secondo il National Institute of Standards and Technology (NIST), quello informatico è definito come un attacco che mira all’utilizzo del cyberspazio da parte di un’organizzazione, con lo scopo di interrompere, disabilitare, distruggere o manipolare il sistema informatico, di compromettere l’integrità dei dati o di rubare informazioni riservate.
Con l’evoluzione delle conoscenze sulle tecnologie spaziali, la difesa basata sul principio di “security through obscurity” non è più sufficiente per i sistemi spaziali. Poiché i satelliti sono diventati sempre più digitalizzati e controllati da software, la loro superficie di attacco è aumentata. Gli avversari possono utilizzare una varietà di metodi per interrompere, disabilitare, distruggere o controllare maliziosamente i satelliti o i sistemi terrestri che li comandano. Questi metodi vanno dagli attacchi effettuati da “script kiddies” (individui privi di competenza informatica), noti come minacce di livello I, agli attacchi a livello di stato-nazione, come le intrusioni nella catena di approvvigionamento o gli attacchi spaziali. Un attacco informatico non è una minaccia monolitica: può assumere molte forme, avere diversi vettori di ingresso e sfruttamento e causare una serie di effetti paralizzanti una volta attivato.
La presenza di vettori di minacce di alto livello e la sofisticazione richiesta per eseguire minacce specifiche, rappresentano una sfida importante
Man mano che i sistemi spaziali sono diventati sempre più complessi, sono considerati come una sorta di “scatola nera”, poco compresa nel cyberspazio ma interconnessa. Ciò è pericoloso perché gli attacchi informatici sono relativamente a basso costo da implementare rispetto ad altre tecnologie anti satellite. Inoltre, questi attacchi possono avere un’ampia portata, mirando a un’intera costellazione di satelliti.
In una situazione di conflitto, gli attacchi informatici sono particolarmente attraenti per gli avversari. Per i satelliti, il punto più debole è il collegamento di comunicazione tramite radiofrequenza o il sistema di terra in generale. Se questo viene violato, non esiste una solida protezione all’interno del satellite, rendendo l’avversario libero di operare sul sistema. Questo ricorda i primi giorni della sicurezza informatica, quando i firewall perimetrali erano l’unica difesa contro le intrusioni. Oggi, i sistemi IT terrestri sono progettati con principi di difesa in profondità per una maggiore sicurezza.
Sia i sistemi spaziali tradizionali che quelli sviluppati di recente dovrebbero essere dotati di un design cyber-sicuro e di una difesa a più livelli. Fino ad ora, le protezioni di sicurezza informatica sono state principalmente concentrate sul segmento terrestre, lasciando il segmento spaziale, ovvero i satelliti, in secondo piano. Per garantire la sicurezza informatica dei sistemi spaziali, è necessario che protezioni di sicurezza vengano implementate sia nella componente terrestre che in quella spaziale, al fine di ridurre la possibilità di un attacco informatico di successo su un satellite.
Quali sono i principali pericoli informatici per i sistemi spaziali?
La natura fisica del veicolo spaziale e il suo ambiente operativo sono fattori cruciali per valutare le minacce e le vulnerabilità informatiche di una missione satellitare. Per supportare la sua missione, il satellite deve essere in grado di comunicare, mantenere l’orbita e fornire energia ai componenti chiave. In base all’impatto della missione, i tre sistemi che potrebbero essere presi di mira sono la comunicazione, le dinamiche orbitali e il comando. Un attacco ai sistemi di telemetria, tracciamento e comando (TT&C) potrebbe impedire al satellite di comunicare, mentre una modifica dell’algoritmo di controllo dell’assetto o un’interferenza con i propulsori potrebbe destabilizzare l’orbita del veicolo spaziale. Qualsiasi danneggiamento o interruzione di queste capacità potrebbe compromettere la missione.
Alcuni attacchi che potrebbero compromettere una missione satellitare sono:
- Interferenza malevola con un satellite tramite il sistema di terra
- Attacchi informatici alle comunicazioni sui sistemi TT&C, come l’iniezione di comandi, gli attacchi di replay o le interferenze elettroniche come il jamming e lo spoofing
- Funzionalità dannose inserite durante la fase di sviluppo hardware, come i trojan basati su hardware
- Sfruttamento delle vulnerabilità di progettazione, dove le funzionalità progettate del sistema vengono utilizzate per scopi maligni, come la scrittura diretta sulla memoria del satellite
- Compromissione della Software Defined Radio
- Sfruttamento delle debolezze e vulnerabilità del software
- Minacce interne costituite da attori malevoli
Quali sono alcune delle tecniche utilizzate per compromettere i sistemi spaziali?
Le tecniche utilizzate per minacciare un sistema spaziale variano in base al punto di ingresso o all’obiettivo preso di mira. Ciascuno di questi sistemi è composto da un segmento terrestre, un segmento di comunicazione e un segmento spaziale. Le tecniche utilizzate dipendono dal segmento attaccato e i diversi segmenti sono esposti a vari tipi di minacce.
Il termine “hacking” si riferisce ad una tecnica di attacco informatico che viene utilizzata sul segmento di terra. Questo è costituito principalmente da tecnologie informatiche tradizionali, come workstation e server Windows e Linux; pertanto, le tecniche e le procedure tradizionali di hacking, possono essere utilizzate per attaccare i modem e le antenne. Gli attacchi a questi dispositivi sono simili a quelli impiegati contro gli ICS (Industrial Control Systems) e molti degli schemi di attacco del framework Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) di MITRE possono essere utilizzati con successo sui sistemi di terra. È possibile sfruttare una combinazione di MITRE ATT&CK for Enterprise e ICS per identificare le vulnerabilità di questi sistemi.
In sintesi, le tecniche utilizzate dipendono dagli obiettivi che l’aggressore vuole raggiungere. Questi potrebbero comprendere la negazione della telemetria di terra e dell’elaborazione dei dati di missione, la riduzione delle comunicazioni con il satellite, l’impossibilità per la terra di eseguire i comandi del satellite, la compromissione della fiducia nei sistemi di controllo del sistema, la compromissione dei dati di missione, l’esfiltrazione dei dati di missione o persino l’esecuzione di comandi sul satellite.
La sicurezza del segmento di collegamento è più consolidata rispetto ad altri segmenti, grazie all’utilizzo di pratiche di sicurezza delle comunicazioni e di sicurezza della trasmissione. Tuttavia, se queste protezioni non sono presenti, il segmento di collegamento potrebbe essere vulnerabile ad attacchi come jamming, spoofing, iniezione di comandi di collegamento, attacchi di replay a radiofrequenza. Gli attacchi al segmento di collegamento sono di natura elettronica più che informatica e vanno presi in considerazione quando si progetta la strategia di sicurezza.
Il segmento spaziale è composto da vari elementi che lavorano insieme per elaborare, memorizzare e trasmettere dati. Questi elementi possono rappresentare una superficie vulnerabile per un attacco. I satelliti sono costituiti sia da hardware che da software incorporati, che operano nell’isolato ambiente spaziale.
Durante la fase di sviluppo sul campo, il sistema spaziale è esposto alle stesse minacce affrontate dai sistemi embedded tradizionali. Il satellite può essere considerato come un dispositivo IoT nello spazio, e gli avversari cercheranno di sfruttarne le vulnerabilità per ottenere accesso e agire sulle sue capacità.
I sottosistemi vulnerabili agli attacchi informatici dei veicoli spaziali includono:
- Sistema di determinazione dell’assetto e controllo (AD&C)
- Comando e gestione dei dati (C&DH)
- Sottosistema di distribuzione e alimentazione elettrica (EPDS)
- Propulsione (DS)
- Strutture e meccanismi (SMS)
- Telemetria, monitoraggio e comando (TT&C)
- Controllo termico (TCS)
Gli attacchi che hanno successo su sistemi IT o tecnologici tradizionali possono essere replicati su un veicolo spaziale, in quanto le interdipendenze tra i sottosistemi possono essere sfruttate in modo simile.
Il software di volo è probabilmente un obiettivo principale quando si tratta di attacchi ai satelliti, data la sua integrazione con C&DH e altri sottosistemi nell’architettura del satellite. Gli attacchi basati su software di volo coprono l’intero ciclo di vita della missione, in quanto esso è riprogrammabile. Questo fornisce agli avversari opportunità di inserire o attivare codice dannoso durante lo sviluppo a terra o nelle operazioni post-lancio.
Gli attacchi basati su hardware sono principalmente concentrati nella fase di pre-lancio, quando è possibile ottenere un accesso fisico. E’ essenziale proteggere la catena di fornitura delle componenti e l’hardware da intrusioni fisiche durante lo sviluppo, ma proteggere il software di volo (FSW) o la logica sugli FPGA (Field Programmable Gate Array) richiede una particolare attenzione durante l’intero ciclo di vita del satellite. Come per qualsiasi sistema informatico, i satelliti sono vulnerabili agli attacchi informatici durante la progettazione, la distribuzione e le operazioni. Quando si valutano le minacce informatiche e le vulnerabilità, è importante identificare i potenziali obiettivi di un attaccante per determinare come e dove può colpire il satellite.
Le protezioni di sicurezza informatica per i sistemi spaziali differiscono notevolmente da quelle per le reti terrestri?
Le misure di sicurezza variano a seconda del segmento in cui vengono implementate. I controlli per il segmento terrestre e di collegamento differiscono da quelli per il segmento spaziale, ma esistono princìpi di sicurezza fondamentali che valgono per tutti i segmenti, come il controllo degli accessi, l’autenticazione, l’autorizzazione, il privilegio minimo. La direttiva sulla politica spaziale (Space Policy Directive, SPD-5), pubblicata nel settembre 2020, ha identificato alcune misure di sicurezza importanti da considerare per i sistemi spaziali:
- Protezione fisica delle attrezzature per il monitoraggio, il controllo e la comunicazione (TT&C)
- Sicurezza delle comunicazioni TT&C attraverso crittografia o autenticazione
- Prevenzione di blocchi e falsificazioni
- Gestione del rischio nella catena di fornitura
- Minacce interne
- Osservanza dei principi di base della sicurezza informatica e aderenza alle linee guida del National Institute of Standards and Technology (NIST)
La crescente minaccia informatica proveniente da attori statali ha fatto sì che i governi e l’industria identificassero la necessità di rafforzare le difese. Tuttavia, gli standard e la governance della sicurezza informatica legati allo spazio sono in ritardo rispetto all’aumento della minaccia. Per garantire la resilienza dei sistemi alla compromissione informatica, i governi, l’industria e la comunità internazionale devono adottare tecniche di difesa approfondite. Questo richiederà una cooperazione accresciuta, nonché una combinazione di politiche, standard e soluzioni tecniche.
Il sistema di governance per la sicurezza informatica, che si basa sull’Information Technology, ha compiuto significativi progressi con la maturazione del NIST Risk Management Framework e del Cybersecurity Framework. Tuttavia, non vi sono ancora equivalenti progressi specifici per il dominio spaziale. Il NIST ha pubblicato Introduction to Cybersecurity for Commercial Satellite Operations per adattare i controlli e i principi di sicurezza del Cybersecurity Framework al settore spaziale commerciale. Questo documento descrive un insieme astratto di risultati, requisiti e controlli suggeriti per la sicurezza informatica. La direttiva sulla politica spaziale SPD-5 ha sottolineato la necessità di ulteriori standard e linee guida per i sistemi spaziali.
Nonostante la mancanza di standard di sicurezza informatica spaziale universalmente accettati, c’è un crescente impegno da parte della comunità per affrontare la sicurezza dei sistemi spaziali, partendo dai principi delle NIST 800-53 e CNSSI 1253. Tuttavia, tradurli in requisiti e standard implementabili per le componenti terrestri, di comunicazione e spaziali, è ancora una sfida. La protezione contro i malfunzionamenti richiede un’analisi separata per ogni segmento del sistema. Gli ingegneri devono comprendere i concetti di base della sicurezza, per integrare controlli adeguati, tenendo conto delle limitazioni di peso, potenza, risorse computazionali e dimensioni del satellite.
Per garantire una protezione adeguata, è necessario implementare i seguenti controlli di sicurezza:
- Proteggere il sistema terrestre dagli attacchi informatici
- Salvaguardare il collegamento di comando terra-spazio e qualsiasi altro collegamento incrociato
- Adottare una solida strategia di gestione delle chiavi di crittografia per garantire che la crittografia sia efficace nella protezione
- Proteggere la catena di approvvigionamento e l’ambiente di sviluppo
- Assicurarsi che siano in atto procedure di sviluppo software sicure per evitare problemi di progettazione, di logica non sicura e di codifica
- Progettare la resilienza informatica a bordo del satellite per garantire rilevamento, ripristino e risposta adeguati attraverso l’utilizzo di automazione, apprendimento automatico e altre forme di intelligenza artificiale.
Che cosa significa per un veicolo spaziale avere una “resilienza informatica”?
La definizione del NIST per la resilienza informatica descrive questa capacità come una capacità di affrontare “condizioni avverse, stress, attacchi o compromissioni su sistemi che utilizzano o sono abilitati da risorse informatiche”. Nel contesto dei veicoli spaziali, la resilienza informatica potrebbe comportare la capacità di auto-riparazione o di resistere agli attacchi informatici e di rilevare quelli che il sistema non ha mai visto prima. Questo potrebbe richiedere l’utilizzo di tecnologie di apprendimento automatico o intelligenza artificiale.
Quali sono alcune delle difficoltà nella creazione di sistemi spaziali per i prossimi anni?
La distinzione tra sistemi spaziali già operativi e quelli ancora in fase di progettazione o sviluppo è importante per la gestione della sicurezza informatica. Le linee guida per la sicurezza possono differire a causa dei vincoli e delle opportunità offerte ai proprietari delle missioni. La maggior parte delle sfide nella progettazione dei sistemi spaziali riguarda l’implementazione del sistema, mentre, per i sistemi attualmente operativi, la gestione dei problemi di sicurezza informatica è limitata agli aggiornamenti del segmento di terra. Gli aggiornamenti software possono essere effettuati in orbita, ma possono essere rischiosi e di solito non vengono eseguiti a causa del potenziale impatto sulla missione.
La protezione dei sistemi terrestri riguarda principalmente la conoscenza e il budget. Per proteggere efficacemente questi sistemi, sono necessari maggiori budget e standards dedicati. Per quanto riguarda i sistemi spaziali, le sfide maggiori sono la conoscenza delle minacce e lo sviluppo di tecnologie di sicurezza informatica che siano adatte alle limitazioni fisiche e computazionali dei satelliti. Per implementare efficacemente i controlli di sicurezza a bordo dei satelliti, sarà necessario un cambiamento nell’approccio degli ingegneri e maggiori investimenti da parte di enti governativi e commerciali per sviluppare soluzioni che possano funzionare all’interno delle limitazioni fisiche dei satelliti e garantire una resilienza informatica che possa proteggere, rilevare, ripristinare e rispondere alle minacce.