小郝：一個(gè)追衛(wèi)星的人

本文作者：李勤

2019-06-03 10:44

導(dǎo)語：在現(xiàn)實(shí)生活中，我遇到了一個(gè)這樣的人，不同的是，他追的是衛(wèi)星。

“夸父追日”的故事有兩個(gè)版本，這兩個(gè)版本都挺有意思，講了一個(gè)追太陽的人為了理想不停奔跑的故事。

第一個(gè)版本是，夸父族其中一個(gè)首領(lǐng)想要把太陽摘下，放到人們的心里面，于是就開始逐日。他口渴的時(shí)候喝干了黃河、渭水，準(zhǔn)備往北邊的大湖去喝水，奔于大澤路途中被渴死。此后，他的手杖化作桃林，成為桃花園，而他的身軀化作了夸父山。

還有一個(gè)版本是，夸父身材魁梧、力大無窮。為了弄清太陽在一年四季對(duì)農(nóng)作物的影響，讓人們合理利用陽光以及熟悉大自然的規(guī)律，夸父拿一根桃木棍兒從東至西測(cè)量日影定四季，再?gòu)狞S河和渭河的漲水痕跡上標(biāo)出最高洪水的水位，這樣可以對(duì)農(nóng)作物提供耕種參考。最終，農(nóng)學(xué)家夸父從東至西到達(dá)了靈寶市西部，壽終于此。

在現(xiàn)實(shí)生活中，我遇到了一個(gè)這樣的人，不同的是，他“追”的是衛(wèi)星。

小郝：一個(gè)追衛(wèi)星的人、

【郝經(jīng)利，360 安全研究員】

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道專欄作者，李勤。

一

幾年前，有一個(gè)青島輪胎廠的操作臺(tái)工人默默地干著兩份活兒，上班的時(shí)候，他是小郝，任務(wù)是要確保輪胎的正常生產(chǎn)，這種在 1770 年就被人發(fā)現(xiàn)的神奇材料——橡膠，從遙遠(yuǎn)的南美洲隨著工業(yè)發(fā)展遷徙，在亞洲生長(zhǎng)壯大，最后在轟隆的工業(yè)世界里，通過很多雙像小郝這樣工人的手，與汽車一同駛向科技文明。

每天傍晚和凌晨，小郝要等待氣象衛(wèi)星 NOAA-18 和NOAA-19以7km/s的速度從高空飛過，他要抓緊這兩顆衛(wèi)星從地平線升起到降落的十幾分鐘，架起天線，接收它們的信號(hào)。

說到這里，你一定以為小郝在氣象局兼職。其實(shí)，他只是好奇——在衛(wèi)星的眼里，這個(gè)世界到底是什么樣？他想知道，臺(tái)風(fēng)的風(fēng)眼在哪里，今天的云如何分布，海面溫度是多少。

說起來，這像一個(gè)科學(xué)家的故事，但是小郝拿到的“劇本”不是這樣的。

調(diào)侃自己像“收破爛”一般搞研究的小郝從各式甩賣的廢棄零件開始收集，動(dòng)手做天線、低噪聲放大器、接收的SDR、追蹤系統(tǒng)、射頻等硬件，利用解調(diào)解碼、數(shù)據(jù)處理的軟件，捕捉微弱的衛(wèi)星信號(hào)，下載數(shù)據(jù)等，成功接收并解碼出了國(guó)內(nèi)業(yè)余界第一幅 HRPT 高清云圖。

氣象業(yè)、航空航海、漁業(yè)、畜牧業(yè)等很多行業(yè)都對(duì)云圖十分依賴。就是這樣一幅對(duì)很多行業(yè)與研究項(xiàng)目影響很大的云圖以及衛(wèi)星追蹤系統(tǒng) OpenATS，被小郝免費(fèi)開源了。

他甚至在三年前就把如何搭建整套系統(tǒng)的信息發(fā)在了某知名安全社區(qū)上，迄今為止，復(fù)現(xiàn)的人寥寥無幾。

“這個(gè)東西意義還是蠻大的，一個(gè)商業(yè)成品的追蹤系統(tǒng)要幾十萬，我當(dāng)時(shí)就是因?yàn)橘I不起商業(yè)的，所以才自己做?！毙『孪耄行┤烁举I不起高清云圖來做研究，這樣會(huì)不會(huì)有更多人進(jìn)來呢？

小郝等人把飛在天空中的衛(wèi)星稱為“鳥”，而研究衛(wèi)星通信的人就成了“鳥人”（birdman）。

鳥人太少了，小郝很孤獨(dú)。

二

沒辦法，追衛(wèi)星實(shí)在太難了。

在衛(wèi)星露面的十幾分鐘里，信號(hào)非常弱，干擾時(shí)時(shí)存在。

小郝觀測(cè)衛(wèi)星的位置附近，就有一個(gè)手機(jī)基站的 DCS 業(yè)務(wù)，對(duì)衛(wèi)星通信的頻段干擾非常厲害。除了排除干擾，他還需要一個(gè)追蹤系統(tǒng)，天線必須精準(zhǔn)地指向那顆衛(wèi)星，才能獲得最好的信號(hào)。這意味著系統(tǒng)要精準(zhǔn)授時(shí)，如果系統(tǒng)時(shí)間不準(zhǔn)確，差一秒，衛(wèi)星可能已經(jīng)飛得很遠(yuǎn)。

小郝花了兩個(gè)月造好追蹤系統(tǒng)。難點(diǎn)在于，系統(tǒng)要不斷追蹤這顆衛(wèi)星，控制系統(tǒng)都通過計(jì)算機(jī)軟件計(jì)算出衛(wèi)星的軌道，推算出它當(dāng)前的角度，再根據(jù)經(jīng)緯度，計(jì)算出這顆衛(wèi)星對(duì)于觀察者的方位角、仰角，而觀察者要把角度信息傳送給單片機(jī)，再計(jì)算出控制這個(gè)電機(jī)轉(zhuǎn)多少角度，才能剛好讓天線指向這顆衛(wèi)星。

搞好追蹤系統(tǒng)、時(shí)間系統(tǒng)后，小郝要對(duì)軌道進(jìn)行預(yù)算和計(jì)算，下載最新的 TLE 數(shù)據(jù)。

小郝還需要用一個(gè)高增益天線收集信號(hào)，天線雖然能獲得微弱的信號(hào)，但需要非常強(qiáng)的低噪聲放大器，把微弱的信號(hào)放大到被 SDR 識(shí)別，因此，低噪聲放大器必須有高增益高，很低的噪聲系數(shù)，信號(hào)才能被系統(tǒng)識(shí)別。低噪聲放大器非常貴，一般與衛(wèi)星同頻段的常用的低噪聲放大器沒有要求如此之高的增益。

怎么辦？好在廢棄的手機(jī)基站里有接收的 DCS 系統(tǒng)，于是小郝打起了淘舊零件的主意。

“我只能時(shí)不時(shí)去翻誰在賣這個(gè)，找到了還不能讓對(duì)方看出來我很想要，萬一獅子大開口怎么辦？我都跟他們說，就這么一個(gè)零件，你不賣給我，也沒有別人要了?！毙『露分嵌酚?。

三

如果周圍有人落水，你是唯一一個(gè)會(huì)游泳的人，你救不救？

小郝肯定會(huì)救。

但是，如果那些等待求救的人如浮漂一般流落在大海、深林里，而你可能是極少數(shù)通過衛(wèi)星通訊知道他們求救信息的人，你要怎么辦？

小郝面臨的不僅是這個(gè)困局。

自從他建好了接收衛(wèi)星信息的地球站以后，每天準(zhǔn)時(shí)接受“鳥兒”的問好。在天線不斷接收天上的衛(wèi)星時(shí)，他突然發(fā)現(xiàn)，為什么在衛(wèi)星的下行鏈路里會(huì)出現(xiàn)模擬信號(hào)？剛開始，他以為附近的對(duì)講機(jī)串頻了，后來才發(fā)現(xiàn)，這個(gè)信號(hào)在頻譜中是不斷移動(dòng)的。

這意味著，這些“信號(hào)”可能來自一架飛機(jī)或者另一個(gè)衛(wèi)星。

小郝陷入疑惑，這個(gè)信號(hào)跟氣象衛(wèi)星的頻率完全不同，差好幾百兆赫，這個(gè)信號(hào)來自哪里？自己到底發(fā)現(xiàn)了什么？

查閱了很多資料后，小郝發(fā)現(xiàn)，這是 COSPAS-SARSAT全球衛(wèi)星搜救系統(tǒng)。

這個(gè)全球衛(wèi)星搜救系統(tǒng)是一個(gè)全球共同建立的人道主義救援系統(tǒng)，起初是由蘇聯(lián)、美國(guó)、加拿大、法國(guó)4個(gè)國(guó)家發(fā)起，目前已經(jīng)有超過 42 個(gè)成員組織。

全球衛(wèi)星搜救系統(tǒng)分為了三種不同類別，一種為 ELT，用在飛機(jī)上使用。一種為 PLB 用于個(gè)人或者團(tuán)隊(duì)，另一種為 EPIRB，多用在海事船只上。

在船只、飛機(jī)上，這些求救信標(biāo)是必備的安全設(shè)備。這個(gè)信標(biāo)可以人為激活或者自動(dòng)激活，當(dāng)船只或者飛機(jī)在經(jīng)過強(qiáng)烈的震動(dòng)和信標(biāo)接觸到水時(shí)，信標(biāo)會(huì)自動(dòng)激活，發(fā)射自己獨(dú)有的信標(biāo)消息，信標(biāo)中含有 GPS 定位模塊，會(huì)在消息中包含信標(biāo)的 GPS 坐標(biāo)，來告知救援中心自己的遇險(xiǎn)位置。

當(dāng)信標(biāo)發(fā)射后，會(huì)被經(jīng)過上空的搜救衛(wèi)星接收并捕獲，將消息發(fā)送給附近的陸地上的 LUT （Local User Terminal）地面接收站。地面站接收到信號(hào)后，將解碼信號(hào)，將信標(biāo)的信息發(fā)送個(gè)MCC（Mission Control Centre）中心，MCC 控制中心再根據(jù)信標(biāo)的信息安排救援隊(duì)伍前往遇險(xiǎn)地點(diǎn)實(shí)施救援。

也就是說，這個(gè)信標(biāo)可能是很多人的最后一根救命稻草。

小郝發(fā)現(xiàn)，COSPAS-SARSAT 衛(wèi)星搜索與救援系統(tǒng)有一個(gè)載荷，會(huì)對(duì)信號(hào)產(chǎn)生中繼的效果，所以那些人的求救信號(hào)會(huì)被衛(wèi)星接收并轉(zhuǎn)發(fā)到地球站。他深入研究這個(gè)系統(tǒng)的通信協(xié)議后，發(fā)現(xiàn)了漏洞。

系統(tǒng)載荷接收來自終端的 406 MHz的求救信標(biāo)，經(jīng)過衛(wèi)星的上變頻，將信號(hào)變頻到 1544.5 Mhz左右進(jìn)行放大和廣播給地面站，而衛(wèi)星載荷含有兩個(gè)通道，一個(gè)為 SARP 處理信道，一個(gè)為 SARR 轉(zhuǎn)發(fā)信道。

SARP 處理信道會(huì)將信標(biāo)信號(hào)進(jìn)行解調(diào)和解碼工作，存儲(chǔ)于衛(wèi)星載荷內(nèi)，以緩存的形式重復(fù)廣播，以防沒有地面站收到的情況發(fā)生。但是這個(gè)通道的處理能力受到衛(wèi)星電能的限制，僅能同時(shí)處理一定數(shù)量的信標(biāo)消息，所以在求救信標(biāo)的終端內(nèi)，設(shè)置為發(fā)射時(shí)間間隔隨機(jī)化，防止遇到同時(shí)發(fā)射信標(biāo)導(dǎo)致衛(wèi)星接收失敗的情況。

危險(xiǎn)的是，系統(tǒng)并沒有使用任何有效的加密措施，任何人都可以對(duì)信標(biāo)信號(hào)接收解碼，這意味著，任何人可以使用 SDR 等設(shè)備偽造需要救援的虛假信標(biāo)，讓救援中心救援。

信標(biāo)雖然需要注冊(cè)，但由于可以接收來自衛(wèi)星下行信號(hào)的信標(biāo)，攻擊者可以冒充這個(gè)身份，導(dǎo)致 MCC 中心無法確定信標(biāo)的真?zhèn)?，浪費(fèi)救援資源。

同時(shí)，由于 SARP 處理能力有限，如果有人批量偽造信標(biāo)，會(huì)讓 SARP 載荷滿負(fù)載運(yùn)行，無法處理來自真實(shí)需要求救的信標(biāo)，就像引發(fā)了一場(chǎng) DDoS 攻擊。

另外，由于 SARR 的透明轉(zhuǎn)發(fā)器的工作屬性，這個(gè)載荷可能被盜用。如果一個(gè)黑客以自己的調(diào)制方式和加密方式發(fā)送自己的數(shù)據(jù)，便可以借助這個(gè)轉(zhuǎn)發(fā)器進(jìn)行跨區(qū)域遠(yuǎn)距離通信，盜用衛(wèi)星鏈路資源。

這意味著，如果有人想借這種通道秘密通信，將很難被監(jiān)測(cè)到，并且無法解密，細(xì)思恐極。

在研究了這個(gè)系統(tǒng)的一些技術(shù)參數(shù)和協(xié)議等信息后，郝經(jīng)利編寫了一個(gè)測(cè)試用的軟件（HackSAR）和GNURadio項(xiàng)目（為防止有人惡意破壞，該項(xiàng)目并非真實(shí)項(xiàng)目，且不開源），借助 SDR 軟件無線電硬件 PlutoSDR ，對(duì)這個(gè)系統(tǒng)在實(shí)驗(yàn)室里進(jìn)行了測(cè)試，包括偽造信標(biāo)、DDOS攻擊、借助衛(wèi)星通信等測(cè)試，發(fā)現(xiàn)這種攻擊確實(shí)行得通。

小郝：一個(gè)追衛(wèi)星的人

發(fā)現(xiàn)這些信息后，小郝第一時(shí)間聯(lián)系了這個(gè)人道主義救援組織，遺憾的是，發(fā)過去的信件石沉大海。

他說，如果這個(gè)組織有人看到自己的信件，希望能聯(lián)系自己，他愿意盡自己最大的努力幫助修復(fù)漏洞。

小郝還發(fā)現(xiàn)， COSPAS-SARSAT 衛(wèi)星搜索與救援系統(tǒng)被很多干擾信號(hào)嚴(yán)重干擾，無論從是澳大利亞、中國(guó)還是英國(guó)的衛(wèi)星的下行數(shù)據(jù)都顯示，干擾源非常多。因?yàn)楹芏鄬?duì)講機(jī)的通信頻率覆蓋范圍在400~470MHz，包含406MHz，而有的人在使用 406MHz 時(shí)，會(huì)嚴(yán)重干擾這個(gè)衛(wèi)星的載荷。

發(fā)射這些信標(biāo)的人都是需要救援的，已經(jīng)沒有辦法跟大陸通信，或者用別的方式求救，他們生命都可能處在危險(xiǎn)中。

雖然這些使用者可能是無意的，但被救援者的求救信號(hào)很可能因此不被聽見。

去年，深圳市查處了這樣一個(gè)案子，深圳市無線電管理局接到了國(guó)際電聯(lián)無線電通信局來函申訴，申訴的內(nèi)容是全球衛(wèi)星搜救系統(tǒng)頻率受到干擾，在派出技術(shù)人員監(jiān)測(cè)后發(fā)現(xiàn)，干擾源是一個(gè)建筑工地的吊塔對(duì)講機(jī)。

小郝希望，大家不要濫用 406 MHz，讓出這條“求生路”。

四

小郝見過一段數(shù)字。

這是一個(gè)信標(biāo)發(fā)過來的數(shù)字，地面站收到之后，就會(huì)解碼，知道這個(gè)信標(biāo)來自哪個(gè)國(guó)家，這個(gè)信標(biāo)當(dāng)時(shí)曾注冊(cè)在哪條船只的名下，船主的聯(lián)系方式是多少，公司的聯(lián)系方式又是多少。

小郝還看到過更多的數(shù)字。他面臨的困局是，他看得到，但救不了。

沒有人可以體會(huì)這種情緒。

后來，小郝辭去了輪胎制造廠的工作，從青島搬到了北京。在酒仙橋路6號(hào)院電子城國(guó)際電子總部 A 座頂層，小郝成為了 360 獨(dú)角獸團(tuán)隊(duì)的一名安全研究員，他在屋頂繼續(xù)接收信號(hào)做衛(wèi)星安全研究。

小郝：一個(gè)追衛(wèi)星的人