Liên kết vệ tinh mặt đất: Các liên kết nội bộ nhạy cảm được truyền dưới dạng bản rõ trên vệ tinh GEO

 (satcom.sysnet.ucsd.edu)
1 điểm bởi GN⁺ 2025-10-15 | 1 bình luận | Chia sẻ qua WhatsApp
  • 50% lưu lượng IP truyền qua liên kết vệ tinh GEO ở trạng thái không được mã hóa
  • Dữ liệu bản rõ được gửi và nhận trong quân sự, viễn thông, thương mại, hạ tầng công cộng v.v., gây ra rủi ro bảo mật nghiêm trọng
  • Nghiên cứu chứng minh rằng chỉ với thiết bị thương mại giá rẻ cũng hoàn toàn có thể chặn bắt lưu lượng này
  • Mạng nội bộ của ngành và nhà mạng không áp dụng đầy đủ mã hóa, khiến lỗ hổng nghiêm trọng tiếp tục bị phơi bày
  • Nhóm nghiên cứu đã thực hiện công bố lỗ hổng có trách nhiệm và phối hợp ứng phó với các tổ chức liên quan, doanh nghiệp và cơ quan chính phủ

Tóm tắt và bối cảnh

  • Liên kết vệ tinh GEO (Geostationary Earth Orbit) là thành phần cốt lõi của hạ tầng và truyền thông mạng từ xa, được sử dụng trong nhiều lĩnh vực như điện lực, viễn thông, quân sự, chính phủ và thương mại
  • Các nghiên cứu trước đây chỉ tập trung vào một số rất ít vệ tinh và các trường hợp hạn chế, trong khi nghiên cứu lần này tiến hành thí nghiệm quy mô rộng bằng thiết bị tiêu dùng trên 39 vệ tinh, 411 transponder, 25 kinh độ

Phát hiện chính

  • khoảng 50% tổng số liên kết GEO, lưu lượng IP bản rõ được xác nhận là truyền đi không có mã hóa ở tầng mạng hoặc tầng liên kết

  • Trong truyền hình vệ tinh, mã hóa tầng liên kết đã là thông lệ suốt nhiều thập kỷ, nhưng ở liên kết backhaul IP thì gần như không có mã hóa

  • Với thiết bị dân dụng (mức vài trăm USD), bất kỳ ai cũng có thể xem lưu lượng vệ tinh, tạo ra mối đe dọa nghe lén nghiêm trọng trên quy mô lớn

  • Trên thực tế, dữ liệu bản rõ nhạy cảm đã được xác nhận trong nhiều lĩnh vực như nhà mạng, hệ thống điều khiển công nghiệp, theo dõi tài sản quân sự, chuỗi phân phối toàn cầu, hàng không, tài chính

    • Lưu lượng backhaul di động (thoại, SMS, khóa xác thực v.v.)
    • Truyền thông công nghiệp và công cộng (lập lịch, hệ thống điều khiển)
    • Quân sự (theo dõi tài sản, siêu dữ liệu cuộc gọi)
    • Bán lẻ (quản lý tồn kho và mạng nội bộ)
    • Hàng không (WiFi trên máy bay, thông tin máy bay)
    • Tài chính (lưu lượng ATM, LDAP)

Mô hình đe dọa và phương pháp thí nghiệm

  • Kẻ tấn công chỉ cần bộ thu vệ tinh thương mại giá rẻ và phần mềm mã nguồn mở là có thể nghe lén thụ động hàng trăm liên kết
  • Không phải mọi giao thức công nghiệp đều được công khai, nhưng nhóm nghiên cứu đã phát triển trình phân tích cú pháp tổng quát có thể xử lý nhiều giao thức khác nhau, và tiến hành quét quy mô lớn trong 7 tháng để thu thập tín hiệu từ từng 411 transponder
  • Các đóng góp kỹ thuật chính
    • Tối ưu chất lượng tín hiệu và căn chỉnh bằng chảo thu gắn động cơ tự động chĩa hướng
    • Phát triển trình phân tích lưu lượng tổng quát áp dụng cho 7 ngăn xếp giao thức (trong đó 5 loại được báo cáo lần đầu)
    • Bảo đảm độ ổn định hiệu năng: thu 3 phút cho mọi tuyến trong vòng 24 giờ
    • Phát hiện số lượng lớn mạng bản rõ trong nhiều lĩnh vực công nghiệp và công cộng

Thực trạng mã hóa và vấn đề cấu trúc

  • Dù TLS là tiêu chuẩn trong mạng IP, thực tế mã hóa trong các mạng vệ tinh nội bộ vẫn chưa được thiết lập đúng mức
  • Điều này chứng minh rằng các tổ chức đang coi liên kết vệ tinh giống như mạng nội bộ thông thường và thiếu giám sát bảo mật
  • Việc không áp dụng mã hóa cho thấy ngoài khó khăn kỹ thuật còn có vấn đề cấu trúc là thiếu động lực thúc đẩy

Cân nhắc đạo đức và công bố có trách nhiệm

  • Dự án đã được tham vấn pháp lý và báo cáo với IRB (ủy ban thẩm định đạo đức nghiên cứu của tổ chức), đặt đạo đức nghiên cứu và vấn đề pháp lý lên hàng đầu
  • Khi phát hiện thoại/SMS nhạy cảm, nhóm lập tức dừng thu thập dữ liệu, mã hóa bổ sung phần dữ liệu đó và xóa đi
  • Nỗ lực thông báo rộng rãi: hướng tới các bên lớn như T-Mobile, quân đội Mỹ, Walmart-Mexico, AT&T, TelMex, Grupo Santander, Intelsat, Panasonic Avionics, WiBo, KPU cùng các cơ quan và tổ chức chính phủ
    • Cũng xác nhận rằng lỗ hổng này không áp dụng với các dịch vụ mới (ví dụ: T-Mobile Starlink)
    • Hỗ trợ khắc phục thông qua phối hợp chặt chẽ với nhiều doanh nghiệp và CERT của các chính phủ quốc gia, đồng thời liên hệ các đầu mối phụ trách

Kết luận và tài liệu công khai

  • Nghiên cứu xác nhận các vấn đề lớn như thiếu mã hóa mang tính cấu trúc, khả năng nghe lén quy mô lớn với chi phí thấp, và các mối đe dọa đối với an ninh công nghiệp/quốc gia
  • Công khai toàn bộ mã nguồn, bài báo đầy đủ và kết quả thí nghiệm: https://satcom.sysnet.ucsd.edu

Tham khảo

  • Tên bài báo: Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites
  • Công bố tại hội nghị ACM CCS’25 ngày 13 tháng 10 năm 2025

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-15
Ý kiến Hacker News

  • Một phần lưu lượng văn bản thuần bị lộ trên các liên kết gồm có

    • Backhaul của T-Mobile: SMS của người dùng, nội dung cuộc gọi thoại và lưu lượng Internet bị lộ mà không có mã hóa

    • Backhaul di động của AT&T Mexico: lưu lượng Internet thô của người dùng

    • Backhaul vệ tinh VOIP của TelMex: các cuộc gọi thoại dạng văn bản thuần

    • Quân đội Mỹ: lưu lượng SIP chứa tên tàu chiến

    • Chính phủ và quân đội Mexico: thông tin liên lạc nội bộ của chính phủ không được mã hóa

    • Walmart Mexico: thông tin xác thực dạng văn bản thuần của email doanh nghiệp và hệ thống quản lý tồn kho, cùng các bản ghi hàng tồn kho được truyền/cập nhật qua FTP
      Tất cả những điều này thật sự quá sốc
      Việc đối phó với các mối đe dọa tiên tiến như giải mã lượng tử hay cửa hậu trong các giao thức mã hóa tiêu chuẩn là quan trọng, nhưng phần lớn các cuộc tấn công thực tế lại bắt nguồn từ những thiếu sót cơ bản trong cấu hình bảo mật
      Điều này nhắc lại rằng việc không lơ là các nguyên tắc nền tảng là cực kỳ quan trọng

    • Trong mục 'Has The Issue Been Fixed' trên https://satcom.sysnet.ucsd.edu/, họ xác nhận bằng quét lại rằng các vấn đề của T-Mobile, WalMart và KPU đã được khắc phục
      Nhưng việc cơ sở hạ tầng trọng yếu bị phơi bày như vậy thật sự đáng sợ, ví dụ các công ty tiện ích dùng kết nối vệ tinh cho SCADA điều khiển từ xa

    • Thật đáng tiếc khi các bộ phận IT trên khắp thế giới không nhận ra rằng trình duyệt mặc định làm lộ mọi URI cho nhà sản xuất
      URI làm rò rỉ bí mật doanh nghiệp, và có lẽ người của Google dùng Edge đang làm lộ dữ liệu cho Microsoft, còn người của Microsoft dùng Chrome lại làm lộ dữ liệu cho Google
      Cả Edge lẫn Chrome đều gửi các URI được truy cập nhằm “cải thiện kết quả tìm kiếm” hoặc “đồng bộ lịch sử giữa các thiết bị”
      Không rõ điều này có áp dụng cả với chế độ ẩn danh hay không, vì họ không nêu rõ
      Đây là một lỗ hổng quyền riêng tư cực lớn nhưng dường như chẳng ai nhận ra hoặc quan tâm

    • Mỗi lần đi ngang Bad Aibling, tôi đều từng tự hỏi vì sao BND (cơ quan tình báo Đức) lại đầu tư nhiều như vậy vào việc nghe lén thông tin vệ tinh
      Tôi đã ngây thơ nghĩ rằng những liên lạc kiểu này hẳn phải được mã hóa
      Nhân tiện, việc cơ sở này do BND sở hữu và vận hành trong thời gian dài chỉ được biết đến một cách bán chính thức; trên danh nghĩa, nó được giới thiệu là do 'Federal Office for Telecommunications Statistics' vận hành với tên 'Bundeswehr long-range communications office'

    • Về mặt con người, tôi thật sự không thể tin nổi chuyện telemetry thời gian thực của các mục tiêu quân sự, vị trí chính xác, định danh và dữ liệu thời gian thực lại bị lộ dưới dạng văn bản thuần

    • Việc này gây sốc, nhưng không nghiêm trọng bằng đầu những năm 2000
      Mã hóa ở tầng liên kết đã là chuẩn trong truyền hình vệ tinh suốt nhiều thập kỷ, nhưng trước thời Snowden, 99% lưu lượng TCP nhìn thấy trên vệ tinh là văn bản thuần hoàn toàn không đụng chạm gì đến mã hóa, gần như toàn bộ web và email đều vậy
      Tốc độ truyền quá nhanh đến mức phải có ổ cứng SCSI mới bắt gói được

  • Một người làm trong ngành vệ tinh cả đời chia sẻ trải nghiệm từng giúp lắp đầu thu cho một kênh TV mới
    Ông ấy tìm ra phải dùng vệ tinh nào, vị trí khe quỹ đạo nào, rồi tự tay đẩy anten để dò vệ tinh bằng cách đếm phải dịch bao nhiêu vệ tinh từ một vệ tinh quen thuộc mà ông dùng làm mốc đến vệ tinh cần tìm
    Tín hiệu của vệ tinh mốc không được mã hóa nên được dùng để canh, còn kênh thực tế của chúng tôi thì có mã hóa
    Người này làm quá dễ dàng nên trông như phép thuật, nhưng khi ông giải thích cấu trúc các khe quỹ đạo bằng ngôn ngữ đời thường thì cảm giác thần bí giảm đi
    Tôi hiểu vì sao các ảo thuật gia không tiết lộ bí kíp

    • Câu chuyện này khiến tôi thấy có chút hy vọng theo một cách khó tả, cảm ơn bạn

    • Tôi nghĩ nếu thứ gì đó trông như phép thuật trước khi biết bí mật, thì ngay cả sau khi biết bí mật nó vẫn nên mang cảm giác như phép thuật mới là phép thuật thật sự
      Không phải vì nó bất khả thi, mà vì nó được thực hiện theo cách tôi không thể hình dung nên sự huyền bí vẫn còn

  • Hồi tưởng lại chuyện từng nghe lén các cuộc gọi đường dài bằng chảo C-band và radio sóng ngắn
    Các kênh thoại được đặt vào các kênh single sideband từ 0~6MHz, rồi bó tín hiệu này được truyền lên bộ tiếp sóng vệ tinh như một tín hiệu video
    Bộ thu chảo không giải mã được tín hiệu đó, nhưng có đầu ra subcarrier cho thiết bị phụ trợ, và người ta nối nó vào radio sóng ngắn rồi dò kênh khắp nơi
    Dù chỉ nghe được một phía cuộc hội thoại, việc đó vẫn cực kỳ thú vị
    Tôi nghe đủ thứ từ chuyện phiếm nhàm chán, giao dịch ma túy cho đến một phụ nữ chửi bới theo kiểu chưa từng nghe trong đời, và vì lúc đó mới 13 tuổi nên đó là trải nghiệm gây sốc
    Ký ức của thời chưa có Internet

  • Năm 2024 vẫn có hãng đề nghị giảm giá lớn nếu mua radio không kèm giấy phép mã hóa
    Thậm chí còn không có cả WPA hay WEP, mọi dữ liệu cứ thế bay ngang bầu trời dưới dạng văn bản thuần
    Tôi nghĩ trong không gian, việc mã hóa mặc định có thể làm tăng nhiệt hoặc tiêu thụ năng lượng đáng kể, nhưng dù vậy thì việc giả vờ như không gian là nơi không thể tiếp cận hoặc là mức ẩn giấu tối thượng vẫn thật lố bịch

    • Mã hóa mặc định trong không gian không nhất thiết phải tạo ra nhiều nhiệt hay tiêu tốn nhiều năng lượng
      Dữ liệu xuất phát từ mặt đất và phải được mã hóa ngay ở giai đoạn uplink, nên trên thực tế việc mã hóa nên được xử lý ở đoạn mặt đất trước khi tới hệ thống vệ tinh

    • Ngay cả khi xảy ra rò rỉ dữ liệu hay vấn đề khác, những người ra quyết định thực tế cũng không phải chịu trách nhiệm, nên hoàn toàn không có động lực để thay đổi
      Bảo mật tệ như vậy là vì dù có sự cố rò rỉ thì chẳng ai bị sa thải, mọi chuyện luôn bị đổ cho “hacker”, rồi sau đó chỉ có mấy câu xã giao kiểu “chúng tôi rất coi trọng bảo mật” và cuộc sống lại tiếp diễn như cũ

    • Tôi tự hỏi vì sao phần lớn lưu lượng lại phải được giải mã trong không gian
      Bản thân luồng lưu lượng có thể ngu ngốc y như cáp quang biển, thực tế chỉ những phần như quản lý hay điều khiển mới cần giải mã trên quỹ đạo

    • Câu hỏi này có trong trang Hỏi & Đáp
      Về câu hỏi “Vì sao không phải mọi liên kết vệ tinh GEO đều được mã hóa?”

      • Mã hóa làm tăng overhead lên băng thông vốn đã hạn chế, và phần cứng giải mã có thể vượt quá ngân sách điện năng của các bộ thu ở xa
      • Nhà cung cấp đầu cuối vệ tinh tính thêm phí cấp phép cho tính năng mã hóa tầng liên kết
      • Mã hóa khiến việc khắc phục sự cố mạng khó hơn và cũng có thể làm giảm độ tin cậy của dịch vụ khẩn cấp
        Kết quả là nhiều tổ chức né tránh mã hóa vì các lý do trực tiếp như chi phí
        Liên kết Hỏi & Đáp liên quan: https://satcom.sysnet.ucsd.edu/#qanda

    • Mã hóa payload không cần phải thực hiện trực tiếp trên vệ tinh

  • Khi làm trong ngành vũ trụ, tôi thấy các hướng dẫn bảo mật ECSS đang khiến các startup hiểu lầm và cố gắng tạo lại TLS trên quỹ đạo
    Tính quan liêu rất nặng
    Các hướng dẫn phần mềm của ECSS trông như được viết bởi những người không có kinh nghiệm phát triển thực chiến, và chỉ cần xem đặc tả ECSS Packet Utilisation Service là đã thấy vô lý
    Vì thế cá nhân tôi thích làm ở các tổ chức nhận vốn VC hơn là các tổ chức sống bằng trợ cấp

  • Trang web liên quan: https://satcom.sysnet.ucsd.edu/
    Bài Wired: https://www.wired.com/story/satellites-are-leaking-the-worlds-secrets-calls-texts-military-and-corporate-data/

  • Có người thắc mắc liệu việc bài nghiên cứu có nhiều công ty Mexico là vì đầu thu đặt ở một thành phố lớn ở góc tây nam Mexico hay không

    • Đúng vậy
      Nghiên cứu được thực hiện ở San Diego, và khu vực này nằm trong vùng phủ beam của vệ tinh phục vụ các dịch vụ tại Mexico
      Ví dụ nếu ở Alice Springs của Australia, thì có thể bắt được lưu lượng của Indonesia, Philippines, phần lớn Đông Nam Á, và tùy tình huống còn có thể là Trung Quốc, Hàn Quốc, Nhật Bản nếu beam chiếu tới

    • Tôi cũng hiểu theo cách đó

  • Tôi đã bị sốc khi đọc mục 6.3.2 của bài báo, nhưng các mục 6.4.2~3 còn nghiêm trọng hơn

    • Tôi tự hỏi nếu reverse engineer thông tin liên lạc ATM không mã hóa được nhắc trong bài báo rồi chèn gói tin một cách ác ý, thì có thể rút tiền chỉ với laptop và chảo thu hay không
      Nghe đúng chất cyberpunk

    • Quá sốc
      Có vẻ như ở các công ty đó thật sự không có ai có thể hiểu được vấn đề này, hoặc có biết mà chẳng ai quan tâm

  • Nghĩ đến việc đến năm 2025 mà các liên kết vệ tinh vẫn không được mã hóa theo từng người dùng, và thông tin nhạy cảm vẫn đi qua Internet bằng các giao thức văn bản thuần, thật sự khiến người ta rùng mình

  • Nếu quan tâm đến chủ đề này, có một kênh YouTube rất hay trình bày các bản demo tấn công thực tế và hướng dẫn
    Hai video về vệ tinh là:

    1. https://www.youtube.com/watch?v=2-mPaUwtqnE
    2. https://www.youtube.com/watch?v=ka-smSSuLjY