lunes, 25 de enero de 2016

¿Serán vulnerables a ciberataques los futuros drones militares españoles?

“Narcotraficantes mexicanos consiguen hackear el futuro dron del ejército español” con este sorprendente titular el medio ECD (El Confidencial Digital) presentaba un articulo hace unos días. En él se aseguraba que los UAV (Unmanned Aerial Vehicle, los vulgarmente conocidos drones) que piensa adquirir el Ejército del Aire Español serian susceptibles de ataques similares a los sufridos por drones utilizados en la vigilancia de la frontera México-Estados Unidos.


El modelo en particular elegido por el Ejército del Aire es el  MQ-9 Reaper , una de las versiones mejoradas del famoso Predator. Se trata de un salto sustancial respecto a los aparatos de menor tamaño y capacidades actualmente operados en España. El Reaper además de misiones de reconocimiento puede ser armado, aunque en la versión española al menos en un principio no se utilizara esta opción destinándose el aparato únicamente para tareas de vigilancia.

La susceptibilidad de los drones a posibles ciberataques es algo ampliamente debatido, aunque existe poca información fiable cuando se refiere a la vulnerabilidad de los sistemas militares. Fue muy publicitada la captura por parte de Irán de un drone stealth del tipo RQ-170 en Diciembre de 2011 pero nunca quedo clara la causa exacta, si fue un accidente del drone, una toma de control mediante hacking, uso de perturbación de señales de satélite o alguna combinación de factores.

Lo que sí es cierto es que Diciembre del pasado año se provoco un gran revuelo cuando Timothy Bennett, program manager de ciencia y tecnología del DHS (Departamento Home Land Security EEUU) declaro a la revista Defense One que los grupos de narcotraficantes que operan en la frontera de México dispondrían de la capacidad de interferir el funcionamiento de los drones de la policía fronteriza (Defense One "DHS: Drug Traffickers Are Spoofing Border Drones") . No obstante tal como comenta el articulo de Defense One que es la fuente primaria de todos los demás artículos en Internet sobre este tema, los mas susceptibles serian los drones de pequeño tamaño , que bien por sus limitaciones físicas para portar electrónica avanzada o por provenir gran parte de sus tecnologías del mundo civil que no disponen de protección frente a los ataques a la señal de GPS. El articulo efectivamente menciona al MQ-9 pero no como un drone vulnerable, todo lo contrario enmarcado en los datos del aumento de capacidades del departamento de interior de EEUU en lo que respecta a aparatos aéreos no tripulados.

Ciertamente los drones menos capaces dependen de la señal de GPS civil , que no dispone de características de seguridad y es por tanto susceptible a ataques. Estos ataque podrían consistir tanto en la perturbación de la señal mediante interferencias como en la suplantación. Este último tipo ataque mas sofisticado fue demostrado en DEFCON 23 por los investigadores Lin Huang y Qing Yang de la empresa china de seguridad Qihoo 360 (Low-cost GPS Simulator). Usando dispositivos del tipo SDR fueron capaces de suplantar la señal civil "en claro" de GPS , afectado a un drone comercial tipo quadcopero como es el DJI Phantom. Estas investigaciones se unen a otras similares como la de estudiantes de la Universidad de Texas (UT Austin Researchers Successfully Spoof an $80 million Yacht at Sea) o " Is Your TimeSpace Safe? Time and Position Spoofing with Open Source Projects" de Alibaba Mobile Security.

Pero podemos ir mas alla en el tema que nos ocupa. Un rápido análisis de fuentes abiertas disponibles sobre esta futura compra nos descubre las características del MQ-9 Reaper que adquirirá España y parece que en un principio podremos respirar aliviados pues las vulnerabilidades anunciadas por ECD no parecen tales.

Como toda venta de material sensible de defensa de EEUU esta debe de ser aprobada por el congreso, este material sensible incluye los drones, pero también otros componentes como sistemas de comunicaciones, radares o posicionamiento avanzados. En particular la futura venta declarada a España según documentos publicos en la agencia que controla las ventas militares norteamericanas , la Defense Security Cooperation Agency en "Foreign Military Sale to Spain for MQ-9 Block 5 aircraft and associated equipment,"  se compone de los siguientes elementos.

The Government of Spain requested a possible sale of:
Major Defense Equipment (MDE):
Four (4) MQ-9 Block 5 Remotely Piloted Aircraft
Twenty (20) Embedded Global Positioning System/Inertial Guidance Unit (EGI) (3 per aircraft, and 8 spares)
Two (2) Mobile Ground Control Stations (MGCS)
Five (5) Multi-Spectral Targeting Systems (MTS-B) (1 per aircraft, 1 spare)
Five (5) Synthetic Aperture Radar, Lynx AN/APY-8 (1 per aircraft, 1 spare)

En esta lista vemos que el segundo elemento declarado son 20 unidades sistemas de  posicionamiento EGI , el propio nombre indica que se trata de unidades duales que combinan los sistemas GPS/INS. Un sistema de navegación inercial, o INS por sus siglas en inglés (Inertial Navigation System), es un sistema de ayuda a la navegación que usa un computador, sensores de movimiento (acelerómetros) y sensores de rotación giroscópicos para calcular continuamente mediante estima la posición, orientación, y velocidad (dirección y rapidez de movimiento) de un objeto en movimiento sin necesidad de referencias externas. Es usado en vehículos como barcos, aeronaves, submarinos, misiles, y naves espaciales. Una de sus características es que no necesita de ninguna señal externa, y por tanto es imposible de interferir. Al tiempo que tampoco emite ningún tipo de señal que pueda utilizarse para detectar su presencia.
Honeywell EGI

Si proseguimos con nuestra busqueda de información, de nuevo públicamente accesible, sobre el sistema Embedded Global Positioning System/Inertial Guidance Unit (EGI) encontramos que es fabricado por el contratista de defensa Honeywell (actualmente Northrop Grumman) que ofrece los modelos LN-100G Embedded INS/GPS (EGI) , LN-251 y LN-260 Advanced Airborne INS/GPS (AEGI).Según la información del fabricante, todos ellos incorporan la tecnología PPS y SAASM.

The LN-100G provides three simultaneous navigation solutions: hybrid GPS/INS, Free Inertial, and GPS Only. The LN-100G has been integrated with All-In-View GPS, both Precise Positioning Service (PPS) (P(Y) and SAASM codes) and Standard Positioning Services (SPS), to provide users with superior navigation performance for geo-location and transfer of remote sensors.

La señal de GPS en realidad un conjunto de diversas señales que a su vez se transmiten en varias frecuencias distintas desde los satélites de órbita media de la constelación NAVSTAR. La señal que habitualmente usamos en nuestros navegadores , smartphones, etc es la conocida como L1-C/A , la señal civil transmitida en la frecuencia L1 en 1575.42 MHz . Sin embargo los usuarios militares disponen de un mayor número de señales, en frecuencias distintas y protegidas mediante diversas arquitecturas cifrado.   Esta señal cifrada PPS tenía originalmente la finalidad de denegar el uso al enemigo de la señal GPS de mayor precisión y se apoyaba en una señal civil que contenía un margen de error deliberado S/A, algo que se desactivo en mayo de 2000. Posteriormente y para combatir la posibilidad de la suplantación (Spoofing) de la señal GPS se creó el sistema SAASM (Selective Availability Anti-spoofing Module) asociado a la señal P(Y). SAASM permite autenticar la señal de los satélites así como la distribución de claves a receptores a través del aire. No incorpora por si mismo capacidad frente ataques brutos de perturbación de la señal, aunque la disponibilidad de frecuencias distintas con un nivel de señal mas alto que el GPS civil, y el uso de antenas que pueden anular la dirección de origen de una señal de interferencia dificultan este tipo de ataques.



En vista de estos datos, podemos concluir que finalmente ¿serán los futuros dones Españoles seguros a ataques? Difícilmente se puede afirmar , máxime sistemas que ni siquiera están en servicio, lo que sí parece quedar claro es que NO serán vulnerables al ataque en particular (spoofing de la señal civil de GPS) que publica ECD.

Estación de control de UAV Predator MQ-1. Curiosidad: arriba-derecha una ventana de mIRC para windows (Articulo sobre uso militar del IRC).

Lo que no es menos cierto es que un UAS (Unmanned Aircraft System) se compone o hace uso de una gran variedad de sistemas de comunicaciones, posicionamiento, navegación aérea, así como elementos en tierra como estaciones de control. En todos ellos pueden darse diversos escenarios de ataque. Estos pueden ir desde la introducción deliberada o accidental de malware en la estación de control, de lo que ya existen precedentes (Wired Exclusive: Computer Virus Hits U.S. Drone Fleet) al compromiso de sistemas de terceros necesarios para su misión, incluyendo al jamming de sistemas de navegación. Ahora bien el Ejército del Aire ejercita habitualmente sus capacidades de defensa tanto en guerra electrónica, en ejercicios periódicos como el “Nube Gris” como la Ciberdefensa. Aspecto este ultimo reforzado el año pasado con la creación del  Centro de Operaciones de Seguridad de Ciberdefensa del Ejército del Aire. Así pues podemos confiar que llegado el caso no se lo pondrán nada fácil a posibles “hackers de drones”.