Точная синхронизация времени определяет работу систем финансовых транзакций, связи, управления технологическими процессами и других. Некоторые из них — географически распределенные и управляются системами координации и контроля, которым, в свою очередь, требуется взаимодействие с другими системами. В таких случаях синхронизация времени просто необходима — требуемая точность зависит от приложения и может находиться в пределах от секунд до одной микросекунды. Из всех доступных источников времени GPS позволяет сегодня наиболее экономически выгодно обеспечивать микросекундную точность на обширной территории, но сигналы GPS относительно слабы  —  всего  25–100  Вт [1]. При беспрепятственном прохождении сигнал имеет у поверхности Земли силу 130 децибел-милливатт [2], и его легко заглушить другим. Кроме того, ухудшение приема или потерю сигналов GPS могут вызвать природные  явления — например,  пасмурная погода или вспышки на Солнце. Конечно, с этим позволяют справиться хорошие внутренние часы приемника, но при злонамеренно вызванных событиях сигналы GPS могут потеряться или исказиться.

Глушение и фальсификация

Цель глушения — вызвать потерю сигнала GPS путем создания достаточного уровня шума на той же частоте, чтобы перекрыть сигнал со спутника. При фальсификации злоумышленник передает дублирующий сигнал GPS, причем организовать такое глушение достаточно просто. Таймер GPS регистрирует потерю сигнала, и процесс регулярной синхронизации времени со спутниками прекращается, при этом сдвиг времени определяется качеством исполнения таймера и длительностью глушения.

GPS применяется грузоперевозочными компаниями для отслеживания перемещения автомобилей и поиска угнанных машин, а злоумышленники могут воспрепятствовать такому наблюдению. Кроме того, с помощью глушения избежать слежения могут водители, превышающие скорость или работающие сверхурочно [3]. Известен случай, когда водитель коммерческого грузовика воспользовался глушителем, чтобы помешать своему работодателю контролировать соблюдение им маршрута, что привело к побочному эффекту в виде прекращения приема сигнала GPS в аэропорту.

Фальсификация может принимать две формы: атакующие либо перехватывают сигнал GPS и транслируют его видоизмененным, либо записывают сигнал и повторно передают его с задержкой. Создание и запись сигналов — дело относительно сложное, поскольку атакующим нужно сфальсифицировать сигналы сразу от нескольких спутников, чтобы приемник GPS не воспринял изменение времени как следствие перемещения.

Проверка возможности фальсификации

В декабре 2011 года специалисты Техасского университета в Остине и компании Northrop Grumman провели проверку возможности подделки сигналов GPS в Тихоокеанской северо-западной национальной лаборатории министерства энергетики США. В ходе тестов при трансляции поддельных сигналов наблюдались расхождения в измерениях, фиксируемых GPS двумя регистраторами переходных процессов (phasor measurement unit, PMU, — прибор для синхронизируемого по времени измерения характеристик тока и напряжения в энергосетях). Согласно нормативным требованиям, эксперименты проходили в среде, непроницаемой для радиоволн.

Тестовая система изображена на рис. 1. Сконструированное исследователями устройство принимало сигналы GPS, фальсифицировало их и транслировало повторно. Мощность поддельного сигнала вначале была низкой, затем увеличивалась, пока таймер GPS не начинал с ним синхронизироваться. Затем исследователи постепенно меняли сигнал, чтобы сбить время таймера GPS.

Рис. 1. Тестовая система Тихоокеанской национальной лаборатории. В ходе тестов наблюдались показания двух PMU при подделке сигналов GPS
Рис. 1. Тестовая система Тихоокеанской национальной лаборатории. В ходе тестов наблюдались показания двух PMU при подделке сигналов GPS

 

Опорный PMU получал верное время от таймера, синхронизируемого с аутентичными сигналами GPS, а тестовый PMU — от таймера, принимавшего поддельные. Два PMU были соединены с одним и тем же источником тока, так что в начале теста их показания были одинаковыми. На рис. 2 показаны результаты. Когда тестовый таймер GPS начал синхронизироваться с поддельным сигналом (точка 1 на рис. 2), фаза, регистрируемая соответствующим PMU, начала меняться. К концу теста расхождение стало очень большим — фазы отличались примерно на 70 градусов.

Рис. 2. Результаты проверки возможности фальсификации времени GPS. В точке 1 тестируемый таймер GPS начал синхронизироваться с поддельным сигналом. К концу теста фазовые углы, регистрируемые двумя PMU, отличались примерно на 70 градусов.
Рис. 2. Результаты проверки возможности фальсификации времени GPS. В точке 1 тестируемый таймер GPS начал синхронизироваться с поддельным сигналом. К концу теста фазовые углы, регистрируемые двумя PMU, отличались примерно на 70 градусов.

 

Возможные способы защиты

События в энергосетях нередко происходят гораздо быстрее, чем на графике, приведенном на рис. 2, тем не менее может возникнуть ситуация, когда даже медленные изменения, подобные тем, что были вызваны в ходе эксперимента, могут создать проблемы. PMU можно настроить так, чтобы принимались защитные меры при регистрации расхождения фаз в разных точках линии электропередач. Фальсификация GPS, подобная описанной, может вызвать срабатывание такой защиты. Одиночное событие, возможно, не приведет к катастрофе, но их серия может иметь серьезные последствия.

Имеются технологии, позволяющие улучшить надежность источников точного времени,  —  в частности, таймеру GPS с меньшей погрешностью требуются менее частые обновления. Наличие внутреннего рубидиевого источника времени позволит дольше сохранить точность хода часов в случае потери сигнала GPS. Кроме того, можно наряду с GPS пользоваться другими глобальными навигационными системами, такими как ГЛОНАСС, BeiDou (Compass) или  Galileo, —  чем больше доступно спутников, тем выше надежность.

Исследователи предлагают применять аутентификацию и шифрование для защиты от фальсификации при гражданском применении GPS, однако для этого понадобится реализовать поддержку аутентификации в гражданском сигнале GPS и модифицировать либо заменить все существующие приемники GPS.

Еще одна возможность защиты состоит в трансляции времени из какого-либо одного доверенного источника. Стандарт IEEE 1588 — протокол точного времени (Precision Time Protocol, PTP) для компьютерных сетей — предусматривает средства компенсации задержки передачи на синхронизируемых точках. PTP не заменяет GPS  —  обе системы обеспечивают точность на уровне меньше микросекунды, но GPS предназначена для выдачи и распространения синхросигнала по большой территории, тогда как PTP рассчитан только на то, чтобы распространять (но не генерировать) сигнал в пределах небольшой сети. PTP можно использовать для выбора наилучшего источника времени и синхронизации с ним всех часов в подсети, иначе говоря, протокол можно применять для трансляции времени от одного доверенного источника.

В данный момент рабочая группа IEEE 1588 перерабатывает стандарт, предусмотрев в нем меры безопасности,  —  было бы неуместно использовать PTP для защиты энергосистем от нарушений работы GPS, в то время как сам протокол имел уязвимости. С другой стороны, компьютерную сеть можно дополнительно защитить физическим периметром безопасности.

***

Нынешняя доступность средств синхронизации точного времени на большой географической территории вызвала революционные изменения в принципах мониторинга и взаимодействия управляющих систем. Например, синхронное измерение комплексных параметров тока и напряжения в разных точках энергосистемы позволяет следить за ее работоспособностью и наглядно отображать ее состояние в целом, что раньше не было возможным. Однако одновременно с ростом использования синхронизированного точного времени появились способы вмешательства в работу систем, поддерживающих коммуникационные инфраструктуры, например GPS. Решать проблемы с GPS необходимо с участием организаций по стандартизации, производителей приемников GPS и энергетической отрасли в целом.

Литература

  1. Power Utilities: Mitigating GPS Vulnerabilities and Protecting Power Utility Network Timing. Symmetricom, 2013.
  2. J.J. Spilker. Signal Structure and Performance Characteristics. Navigation, vol. 25, no. 2, 1978, P. 121–146.
  3. C. Arthur. Thousands Using GPS Jammers on UK Roads Pose Risks, Say Experts. The Guardian, 12 Feb. 2013; URL: http://www.theguardian.com/technology/2013/feb/13/gps-jammers-uk-roads-risks (дата обращения 18.09.2014). 

Крис Боунбрейк, Лори Росс О'Нил ({bonebrake, lro }@pnnl.gov) — научные сотрудники, Тихоокеанская северо-западная национальная лаборатория (США).

Chris Bonebrake, Lori Ross O’Neil, Attacks on GPS Time Reliability. IEEE Security & Privacy, May/June 2014, IEEE Computer. All rights reserved. Reprinted with permission.