小郝：一個追衛(wèi)星的人

本文作者：李勤

2019-06-03 10:44

導(dǎo)語：在現(xiàn)實生活中，我遇到了一個這樣的人，不同的是，他追的是衛(wèi)星。

“夸父追日”的故事有兩個版本，這兩個版本都挺有意思，講了一個追太陽的人為了理想不停奔跑的故事。

第一個版本是，夸父族其中一個首領(lǐng)想要把太陽摘下，放到人們的心里面，于是就開始逐日。他口渴的時候喝干了黃河、渭水，準(zhǔn)備往北邊的大湖去喝水，奔于大澤路途中被渴死。此后，他的手杖化作桃林，成為桃花園，而他的身軀化作了夸父山。

還有一個版本是，夸父身材魁梧、力大無窮。為了弄清太陽在一年四季對農(nóng)作物的影響，讓人們合理利用陽光以及熟悉大自然的規(guī)律，夸父拿一根桃木棍兒從東至西測量日影定四季，再從黃河和渭河的漲水痕跡上標(biāo)出最高洪水的水位，這樣可以對農(nóng)作物提供耕種參考。最終，農(nóng)學(xué)家夸父從東至西到達了靈寶市西部，壽終于此。

在現(xiàn)實生活中，我遇到了一個這樣的人，不同的是，他“追”的是衛(wèi)星。

小郝：一個追衛(wèi)星的人、

【郝經(jīng)利，360 安全研究員】

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道專欄作者，李勤。

一

幾年前，有一個青島輪胎廠的操作臺工人默默地干著兩份活兒，上班的時候，他是小郝，任務(wù)是要確保輪胎的正常生產(chǎn)，這種在 1770 年就被人發(fā)現(xiàn)的神奇材料——橡膠，從遙遠(yuǎn)的南美洲隨著工業(yè)發(fā)展遷徙，在亞洲生長壯大，最后在轟隆的工業(yè)世界里，通過很多雙像小郝這樣工人的手，與汽車一同駛向科技文明。

每天傍晚和凌晨，小郝要等待氣象衛(wèi)星 NOAA-18 和NOAA-19以7km/s的速度從高空飛過，他要抓緊這兩顆衛(wèi)星從地平線升起到降落的十幾分鐘，架起天線，接收它們的信號。

說到這里，你一定以為小郝在氣象局兼職。其實，他只是好奇——在衛(wèi)星的眼里，這個世界到底是什么樣？他想知道，臺風(fēng)的風(fēng)眼在哪里，今天的云如何分布，海面溫度是多少。

說起來，這像一個科學(xué)家的故事，但是小郝拿到的“劇本”不是這樣的。

調(diào)侃自己像“收破爛”一般搞研究的小郝從各式甩賣的廢棄零件開始收集，動手做天線、低噪聲放大器、接收的SDR、追蹤系統(tǒng)、射頻等硬件，利用解調(diào)解碼、數(shù)據(jù)處理的軟件，捕捉微弱的衛(wèi)星信號，下載數(shù)據(jù)等，成功接收并解碼出了國內(nèi)業(yè)余界第一幅 HRPT 高清云圖。

氣象業(yè)、航空航海、漁業(yè)、畜牧業(yè)等很多行業(yè)都對云圖十分依賴。就是這樣一幅對很多行業(yè)與研究項目影響很大的云圖以及衛(wèi)星追蹤系統(tǒng) OpenATS，被小郝免費開源了。

他甚至在三年前就把如何搭建整套系統(tǒng)的信息發(fā)在了某知名安全社區(qū)上，迄今為止，復(fù)現(xiàn)的人寥寥無幾。

“這個東西意義還是蠻大的，一個商業(yè)成品的追蹤系統(tǒng)要幾十萬，我當(dāng)時就是因為買不起商業(yè)的，所以才自己做?！毙『孪?，有些人根本買不起高清云圖來做研究，這樣會不會有更多人進來呢？

小郝等人把飛在天空中的衛(wèi)星稱為“鳥”，而研究衛(wèi)星通信的人就成了“鳥人”（birdman）。

鳥人太少了，小郝很孤獨。

二

沒辦法，追衛(wèi)星實在太難了。

在衛(wèi)星露面的十幾分鐘里，信號非常弱，干擾時時存在。

小郝觀測衛(wèi)星的位置附近，就有一個手機基站的 DCS 業(yè)務(wù)，對衛(wèi)星通信的頻段干擾非常厲害。除了排除干擾，他還需要一個追蹤系統(tǒng)，天線必須精準(zhǔn)地指向那顆衛(wèi)星，才能獲得最好的信號。這意味著系統(tǒng)要精準(zhǔn)授時，如果系統(tǒng)時間不準(zhǔn)確，差一秒，衛(wèi)星可能已經(jīng)飛得很遠(yuǎn)。

小郝花了兩個月造好追蹤系統(tǒng)。難點在于，系統(tǒng)要不斷追蹤這顆衛(wèi)星，控制系統(tǒng)都通過計算機軟件計算出衛(wèi)星的軌道，推算出它當(dāng)前的角度，再根據(jù)經(jīng)緯度，計算出這顆衛(wèi)星對于觀察者的方位角、仰角，而觀察者要把角度信息傳送給單片機，再計算出控制這個電機轉(zhuǎn)多少角度，才能剛好讓天線指向這顆衛(wèi)星。

搞好追蹤系統(tǒng)、時間系統(tǒng)后，小郝要對軌道進行預(yù)算和計算，下載最新的 TLE 數(shù)據(jù)。

小郝還需要用一個高增益天線收集信號，天線雖然能獲得微弱的信號，但需要非常強的低噪聲放大器，把微弱的信號放大到被 SDR 識別，因此，低噪聲放大器必須有高增益高，很低的噪聲系數(shù)，信號才能被系統(tǒng)識別。低噪聲放大器非常貴，一般與衛(wèi)星同頻段的常用的低噪聲放大器沒有要求如此之高的增益。

怎么辦？好在廢棄的手機基站里有接收的 DCS 系統(tǒng)，于是小郝打起了淘舊零件的主意。

“我只能時不時去翻誰在賣這個，找到了還不能讓對方看出來我很想要，萬一獅子大開口怎么辦？我都跟他們說，就這么一個零件，你不賣給我，也沒有別人要了?！毙『露分嵌酚隆?/p>

三

如果周圍有人落水，你是唯一一個會游泳的人，你救不救？

小郝肯定會救。

但是，如果那些等待求救的人如浮漂一般流落在大海、深林里，而你可能是極少數(shù)通過衛(wèi)星通訊知道他們求救信息的人，你要怎么辦？

小郝面臨的不僅是這個困局。

自從他建好了接收衛(wèi)星信息的地球站以后，每天準(zhǔn)時接受“鳥兒”的問好。在天線不斷接收天上的衛(wèi)星時，他突然發(fā)現(xiàn)，為什么在衛(wèi)星的下行鏈路里會出現(xiàn)模擬信號？剛開始，他以為附近的對講機串頻了，后來才發(fā)現(xiàn)，這個信號在頻譜中是不斷移動的。

這意味著，這些“信號”可能來自一架飛機或者另一個衛(wèi)星。

小郝陷入疑惑，這個信號跟氣象衛(wèi)星的頻率完全不同，差好幾百兆赫，這個信號來自哪里？自己到底發(fā)現(xiàn)了什么？

查閱了很多資料后，小郝發(fā)現(xiàn)，這是 COSPAS-SARSAT全球衛(wèi)星搜救系統(tǒng)。

這個全球衛(wèi)星搜救系統(tǒng)是一個全球共同建立的人道主義救援系統(tǒng)，起初是由蘇聯(lián)、美國、加拿大、法國4個國家發(fā)起，目前已經(jīng)有超過 42 個成員組織。

全球衛(wèi)星搜救系統(tǒng)分為了三種不同類別，一種為 ELT，用在飛機上使用。一種為 PLB 用于個人或者團隊，另一種為 EPIRB，多用在海事船只上。

在船只、飛機上，這些求救信標(biāo)是必備的安全設(shè)備。這個信標(biāo)可以人為激活或者自動激活，當(dāng)船只或者飛機在經(jīng)過強烈的震動和信標(biāo)接觸到水時，信標(biāo)會自動激活，發(fā)射自己獨有的信標(biāo)消息，信標(biāo)中含有 GPS 定位模塊，會在消息中包含信標(biāo)的 GPS 坐標(biāo)，來告知救援中心自己的遇險位置。

當(dāng)信標(biāo)發(fā)射后，會被經(jīng)過上空的搜救衛(wèi)星接收并捕獲，將消息發(fā)送給附近的陸地上的 LUT （Local User Terminal）地面接收站。地面站接收到信號后，將解碼信號，將信標(biāo)的信息發(fā)送個MCC（Mission Control Centre）中心，MCC 控制中心再根據(jù)信標(biāo)的信息安排救援隊伍前往遇險地點實施救援。

也就是說，這個信標(biāo)可能是很多人的最后一根救命稻草。

小郝發(fā)現(xiàn)，COSPAS-SARSAT 衛(wèi)星搜索與救援系統(tǒng)有一個載荷，會對信號產(chǎn)生中繼的效果，所以那些人的求救信號會被衛(wèi)星接收并轉(zhuǎn)發(fā)到地球站。他深入研究這個系統(tǒng)的通信協(xié)議后，發(fā)現(xiàn)了漏洞。

系統(tǒng)載荷接收來自終端的 406 MHz的求救信標(biāo)，經(jīng)過衛(wèi)星的上變頻，將信號變頻到 1544.5 Mhz左右進行放大和廣播給地面站，而衛(wèi)星載荷含有兩個通道，一個為 SARP 處理信道，一個為 SARR 轉(zhuǎn)發(fā)信道。

SARP 處理信道會將信標(biāo)信號進行解調(diào)和解碼工作，存儲于衛(wèi)星載荷內(nèi)，以緩存的形式重復(fù)廣播，以防沒有地面站收到的情況發(fā)生。但是這個通道的處理能力受到衛(wèi)星電能的限制，僅能同時處理一定數(shù)量的信標(biāo)消息，所以在求救信標(biāo)的終端內(nèi)，設(shè)置為發(fā)射時間間隔隨機化，防止遇到同時發(fā)射信標(biāo)導(dǎo)致衛(wèi)星接收失敗的情況。

危險的是，系統(tǒng)并沒有使用任何有效的加密措施，任何人都可以對信標(biāo)信號接收解碼，這意味著，任何人可以使用 SDR 等設(shè)備偽造需要救援的虛假信標(biāo)，讓救援中心救援。

信標(biāo)雖然需要注冊，但由于可以接收來自衛(wèi)星下行信號的信標(biāo)，攻擊者可以冒充這個身份，導(dǎo)致 MCC 中心無法確定信標(biāo)的真?zhèn)?，浪費救援資源。

同時，由于 SARP 處理能力有限，如果有人批量偽造信標(biāo)，會讓 SARP 載荷滿負(fù)載運行，無法處理來自真實需要求救的信標(biāo)，就像引發(fā)了一場 DDoS 攻擊。

另外，由于 SARR 的透明轉(zhuǎn)發(fā)器的工作屬性，這個載荷可能被盜用。如果一個黑客以自己的調(diào)制方式和加密方式發(fā)送自己的數(shù)據(jù)，便可以借助這個轉(zhuǎn)發(fā)器進行跨區(qū)域遠(yuǎn)距離通信，盜用衛(wèi)星鏈路資源。

這意味著，如果有人想借這種通道秘密通信，將很難被監(jiān)測到，并且無法解密，細(xì)思恐極。

在研究了這個系統(tǒng)的一些技術(shù)參數(shù)和協(xié)議等信息后，郝經(jīng)利編寫了一個測試用的軟件（HackSAR）和GNURadio項目（為防止有人惡意破壞，該項目并非真實項目，且不開源），借助 SDR 軟件無線電硬件 PlutoSDR ，對這個系統(tǒng)在實驗室里進行了測試，包括偽造信標(biāo)、DDOS攻擊、借助衛(wèi)星通信等測試，發(fā)現(xiàn)這種攻擊確實行得通。

小郝：一個追衛(wèi)星的人

發(fā)現(xiàn)這些信息后，小郝第一時間聯(lián)系了這個人道主義救援組織，遺憾的是，發(fā)過去的信件石沉大海。

他說，如果這個組織有人看到自己的信件，希望能聯(lián)系自己，他愿意盡自己最大的努力幫助修復(fù)漏洞。

小郝還發(fā)現(xiàn)， COSPAS-SARSAT 衛(wèi)星搜索與救援系統(tǒng)被很多干擾信號嚴(yán)重干擾，無論從是澳大利亞、中國還是英國的衛(wèi)星的下行數(shù)據(jù)都顯示，干擾源非常多。因為很多對講機的通信頻率覆蓋范圍在400~470MHz，包含406MHz，而有的人在使用 406MHz 時，會嚴(yán)重干擾這個衛(wèi)星的載荷。

發(fā)射這些信標(biāo)的人都是需要救援的，已經(jīng)沒有辦法跟大陸通信，或者用別的方式求救，他們生命都可能處在危險中。

雖然這些使用者可能是無意的，但被救援者的求救信號很可能因此不被聽見。

去年，深圳市查處了這樣一個案子，深圳市無線電管理局接到了國際電聯(lián)無線電通信局來函申訴，申訴的內(nèi)容是全球衛(wèi)星搜救系統(tǒng)頻率受到干擾，在派出技術(shù)人員監(jiān)測后發(fā)現(xiàn)，干擾源是一個建筑工地的吊塔對講機。

小郝希望，大家不要濫用 406 MHz，讓出這條“求生路”。