Як захистити термінал Starlink від загроз застосування засобів РЕР та кібер-засобів?
Які рекомендації кібербезпеки при використанні терміналу Starlink?
Чи можливо безпечно використовувати термінал Starlink?
---
Рекомендації по захисту від загроз застосування засобів РЕР та кібер-засобів
ВІДМОВА ВІД WIFI
Якщо ситуація та умови дозволяє використання термінала супутниковго зв’язку Starlink без WiFi - це найкраще рішення.
Якщо в тебе нема WiFi мережі, то в тебе і немає всіх пов’язаних з нею ризиків, про котрі йшла мова вище.
Варіанти рішення:
- Типовий набір з термінала та WiFi роутера Starlink може бути використано у режимі Bypass, якщо додатково обладнано Ethernet адаптером.
- Існує багато варіантів модифікації термінала Starlink, від мінімальної (лише конектор Rj45) до більш глибокої, котрі дозволяють не використовувати оригінальний WiFi роутер Starlink.
Але слід пам’ятати, що використання будь яких інших WiFi роутерів також вимагає пропрацьовувати кожний ризик, із згаданих у цьому посібнику.
Наразі досліджені всі аспекти модифікації терміналів Starlink. В Україні вже є і серійні виробники модифікованих терміналів (або як ще їх називають - МОД = MOD).
Мережеві налаштування та специфіка використання у мережевих інфраструктурах терміналів Starlink також вже вивчена та опанована достатньо.
Отже вже немає жодних перешкод для впровадження використання терміналів супутникового зв’язку без використання WiFi всюди, де це доцільно та необхідно.
WIFI-ГІГІЄНА
При розміщенні WiFi роутерів або точок доступу завжди враховуй вектор розповсюдження сигналу та застосування ворожих засобів РЕР.
Застосовуємо правило “Все що можеш - ховай під землю”.
WiFi роутер терміналу Starlink має мінімальні штатні можливості керування. При неможливості відмовитись від його використання варто керуватись нижче наведеними правилами гігієни WiFi мереж:
а) Анонімізація SSID та BSSID мережі - WiFi мережа має мати таку назву (SSID), котра не містить пов’язаних із бойовою роботою слів: ZSU, KSP, VOP, HQ, STARLINK, POST та подібних, включаючи позивні, номери підрозділу/частини та т.д. Краще всього вибирай суто цивільні та нейтральні назви, чужі імена тощо. Але з огляду на можливості кібер-засобів варто уникати неповторних та унікальних назв мережі, котрі дозволять відстежити таку мережу засобами РЕР та за “відбитками” у хмарних сервісах геолокації. BSSID мережі варто формувати випадково, щоб він не містив в собі ідентифікатор виробника (OUI).
б) Ротація SSID та BSSID мережі - регулярна періодична зміна SSID та BSSID не дає змоги відстежити переміщення через їх співпадіння на різних локаціях. Тому ротація має відбуватись також при кожному переміщенні, та/або при виявленні наявних “відбитків” у хмарних сервісах геолокації, або з будь яких інших визначених причин.
в) Пароль доступу до мережі має бути складним - якщо ти не хочеш, щоб трафік твоєї мережі міг легко перехоплювати та аналізувати ворог, завжди, завжди, завжди використовуй для своїх Wi-Fi мереж складний та достатньо довгий пароль/ключ - ланцюжок 12 чи більше символів, серед яких обов’язково будуть:
- маленькі літери (a-z);
- великі літери (A-Z);
- цифри (0-9);
- спеціальні символи (неальфанумеричні символи — #,$,@,_ та інші).
Всім цим ти суттєво ускладниш можливість підбору паролю. А, щоб не забути новий пароль, придумай собі для цього паролю слово, у написанні котрого ти точно будеш знати, які символи будуть великими, які маленькими, а які букви заміниш на які спецсимволи. Саме слово (без адаптації, просто на згадку) можеш навіть десь записати собі, наприклад кирилицею. Але краще пам’ятати і не писати. Ніколи не використовуй безпарольний доступ!
г) Уникай використання застарілих стандартів - WiFi стандарти IEEE 802.11a/b/g були прийняті дуже багато років тому. Вони містять чимало вразливостей та специфічних нюансів, які спрощують їх виявлення засобам РЕР. Тому краще уникати використання у своїй WiFi мережі пристроїв, котрі не підтримують новіші версії стандартів IEEE 802.11n/ac.
В різних структурах Сил Оборони України існують певні норми та правила кібербезпеки та раді-гігієни. Слідування цим нормативам є обов’язковим та пріоритетним.
У січні 2023го року для всіх WiFi роутерів Starlink перебуваючих на території України запроваджено функцію BSSID randomizer, котра змінює всі значення BSSID WiFi роутера Starlink на випадково згенеровані значення при кожному Factory Reset.
Передумова - має бути встановлена будь-яка прошивка не старіша ніж 2023.01.0.mr20760-prod.
Використання Factory Reset задля анонімізації та ротації SSID та BSSID WiFi роутерів Starlink рекомендовано робити регулярно та при кожному переміщенні пристрою на нову позицію.
Опубліковані раніше рекомендації по ції темі також доступні тут.
ЗАХИСТ ВІД ШПЗ (MALWARE)
Якщо згадати, що перший факт використання Шкідливого Програмного Забезпечення (ШПЗ) був зафіксований у звіті СБУ від 08.08.2023 р., то стає зрозумілим, що захист від ШПЗ наразі є не менш важливим, ніж захист особового складу від ураження артилерією.
Більшість відомств та структур Сил Оборони України вже мають певні інструкції, профілактичні регламенти чи процедури кібербезпеки, виконання котрих має уберегти від загроз дій ШПЗ.
Основні інструменти захисту - принцип “нульової довіри” до будь якого неверифікованого пристрою в мережі, застосований ДО надання доступу до самої мережі. При чому не є важливим, чи це якась службова мережа, чи це WiFi мережа приватного терміналу на позиції підрозділа - захищатись від дії ворожого ШПЗ потрібно в кожній з них.
Надання доступу до мережі пристрою без попередньої перевірки на наявність ШПЗ може призвести до витоку даних до ворога, в деяких випадках включно координат терміналу та іншої інформації, котрою ворог може швидко скористатись. ШПЗ може нести загрозу втручання у роботу термінала Starlink та залишити підрозділ без зв’язку у найбільш зручний для ворога час.
Найбільш ефективний для підвищення захисту від ШПЗ є комплексний підхід - навчання, інструктаж, розповсюдження відповідних посібників та брошур, впровадження процедур контролю командирами підрозділів, та всі інші заходи, що дозволяють уникнути використання потенційно небезпечних пристроїв у мережі, в котрій є мережевий доступ до терміналу Starlink.
Інженери SpaceX наразі працюють над покращенням захисту терміналів від ШПЗ.
Поки чекаємо оновлень від SpaceX, найефективнішим рішенням наразі є:
- Відмова від використання оригінального WiFi роутера одночасно із жорстким обмеженням доступу до 192.168.100.1 для всіх пристроїв локальної мережі (LAN/WiFi клієнтів) на альтернативному роутері.
- Жорстке дотримання принципу “нульової довіри” до будь якого неверифікованого пристрою в мережі, застосований ДО надання доступу до самої мережі
- Відмова від використання режиму “Allow access on local network”
- Моніторинг відсутності втручання у режим “Use Starlink Positioning Exclusively”
ЗАХИСТ ОБЛІКОВОГО ЗАПИСУ (ACCOUNT)
Значна частина терміналів супутникового зв’язку Starlink в структурах Сил Оборони України мають походження від Міністерства Цифрової Трансформації і адмініструванням їх облікових записів та відповідних параметрів займаються відповідні структурні підрозділи.
Але у випадку користування приватним чи волонтерським терміналом, варто розуміти, що контроль над обліковим записом дає певні можливості при несанкціонованому доступі нанести шкоду як локально, так і дистанційно.
Так само несе певний ризик і втрата доступу до облікового запису, у т.ч. коли власник або носій даних доступу більш не доступний - втрачається можливість зміни параметрів оплати, тарифів та налаштувань. Такий термінал досить швидко перетворюється на неконтрольованого гарбуза, втрачаючи можливість бути використаним за призначенням.
Саме тому варто завжди забезпечити захист доступу до облікового запису для таких ситуацій. Це можливо зробити наприклад через додаткове надійне зберігання логіну та паролю так, щоб відновлення доступу було можливим для обмеженого кола осіб, використання спільних з іншими особами поштових скриньок, на котрі реєструється обліковий запис та т.п..
Дуже часто для збереження логіну та паролю при аутентифікації користувача у мобільному додатку або у веб-браузері використовуються різноманітні менеджери паролів, котрі дозволяють зберегти логін та пароль, замість їх запам’ятовування оператором. Втрата доступу до такого менеджера паролів, або навіть виток даних з нього можуть створити додаткові ризики, про котрі слід пам’ятати. До витоку слід віднести і можливість скористатись таким засобом при крадіжці вашого смартфону чи ПК.
При створенні облікового запису слід звертати увагу на процедуру відновлення доступу при втраті паролю. В такій процедурі може бути задіяно адресу електронної поштової скриньки (e-mail) та номер телефону (phone). Одна з причин неможливості відновити доступ до облікового запису - ігнорування рекомендації зміни цих параметрів в обліковому записі у випадку придбання термінала із обліковим записом, котрий вже створив хтось раніше. У таких випадках рекомендую створювати власний обліковий запис та проводити трансфер (перенесення) терміналу на такий, повністю підконтрольний обліковий запис.
ЧИ ДОСТАТНЬО ЗАХИЩЕНІ ТЕХНОЛОГІЇ STARLINK З ТОЧКИ ЗОРУ КІБЕРБЕЗПЕКИ?
Відповідь на це питання: Наразі - Так. Хоча звісно будь яка оцінка “достатньості” - ситуативна і не незмінна. Ситуація може динамічно мінятись
Але наразі, після більш ніж півтора року використання цієї технології в обороні України, можливо сказати, що за цей час технологія супутникового зв’язку Starlink показала себе не лише надійним та передовим засобом зв’язку, але і здатним дуже швидко та якісно адаптуватись під дінамічно міняючимися умовами війни.
Не слід забувати, що дуже потужні технологічні сили дуже потужних країн весь цей час були спрямовані саме на пошук вразливостей Starlink… Без успіху…
Спробуємо коротко окреслити найважливіші моменти:
- Технології шифрування відповідають всім сучасним вимогам - зламати та прочитати потенційно перехоплені дані (якщо навіть комусь би вдалось їх перехопити) практично не реально. Тобто наразі все ще не зафіксовано жодної успішної спроби перехоплення даних.
- Шифрування та ідентифікація базується на ключах шифрування, котрі зберігаються та обслуговуються захищеними апаратними секюріті-чіпами. Ця технологія більш надійна, ніж у більшості передових фінансових інструментів сучасності.
- Архітектура мережі в цілому виявилась неочікувано стійкою до технічних збоїв. Так, глобальні збої були, але сумарно їх було у багато разів менше, ніж зазвичай їх буває у мережах глобальних операторів зв’язку на порядки. Та й природа зафіксованих збоїв була пов’язана більше з “дитячими хворобами” ніж з технологічними ризиками.
- Технології терміналів Starlink насправді дивовижно елегантні - на момент початку Starlink на планеті було дуже мало подібних розробок (принаймні пристроїв з АФР), та й вони були до біса дорогими. Щоправда це неможливо сказати про якість виконання та контроль якості на виробництві Starlink. Але коли ми говоримо про мільйони доволі дешевих пристроїв, котрих раніше ніхто не виробляв - це теж простіше віднести до типових “дитячих хвороб”.
- Одна з типових проблем у сфері телекомунікаційних мереж та IoT - стійкість кінцевих пристроїв та системи вцілому до постійних змін та еволюційних стрибків, котрі призводять до неминучих оновлень програмного забезпечення пристроїв. Майже нереально знайти на нашій планеті виробника пристроїв, виробки котрого бездоганно автоматично оновлюються без збоїв. Термінали Starlink отримують оновлення інколи частіше ніж раз на тиждень, і жодного випадку перетворення пристрою в мовчазну цеглу. Це дуже показове досягнення.
Отже проект Ілона Маска показав себе за перші роки від свого запуску дуже непогано!
Але… є все ж і проблеми. З точки зору кібербезпеки, це передусім:
- Недостатньо захищений інтерфейс керування пристроєм, котрий дозволяє розробляти ШПЗ із досить суттєвими ризиками втручання у роботу термінала.
- Дуже обмежені можливості відновлення контролю над обліковими записами.
- Відсутність деяких важливих параметрів телеметрії терміналу - температура, споживана потужність та деякі інші.
Є і деякі проблеми, котрі дуже мало пов’язані із кібербезпекою, але все ж деякий зв’язок має місце:
- Якість служби підтримки користувачів отримала декілька номінацій “найгірша служба підтримки” від деяких відомих у ІТ сфері видань. Хоча вочевидь компанія SpaceX рухається у бік вирішення цих проблем і вирішення проблем, у т.ч. пов’язаних з кібербезпекою, тепер відбувається швидше та якісніше.
- Якість виробництва та зборки терміналів та WiFi роутерів Starlink нестримно падала останній рік. Але недавнє відкриття фабрики в США дає надію, що ситуація може покращитись.
- Фахівці проекту “Народний Starlink” продовжують слідкувати за всіма новими подіями та інцидентами, та допомогати Силам Оборони України та компанії SpaceX реагувати на всі виявлені ризики чи вразливості системи супутникового зв’язку Starlink.