专栏首页网络安全观零信任才是GPS安全的 “特效药”

零信任才是GPS安全的 “特效药”

围绕大数据和人工智能时代GPS和地理信息系统GIS相关应用的重要性不断提升,安全问题日益突出,全球卫星定位系统竞争局势正在不断升温。种种迹象表明,GPS正面临一次重大安全变革。

禁令凸显GPS战略价值和安全问题严峻性

2019年1月初,据路透社报道,特朗普政府将从1月中旬开始采取措施限制GIS人工智能软件的出口(加拿大除外),从美国出口某些类型的地理空间图像软件的公司必须申请许可。

业内人士透露,美国公司的ARCGIS和AIS产品属于禁令限制范围。

特朗普的GIS“禁售令”,再次激起了业界和公众对GPS安全问题的关注。

不仅仅是GIS系统离不开GPS(以及其他全球定位系统),事实上GPS正在成为我们这个星球的节拍器和定位器。供应链、海洋运输、港口停靠、证券交易,甚至我们的汽车、自行车和城市中的日常活动都依赖于太空盘旋的卫星群,才能使所有这些活动能有条不紊、精确定位和运行。

在安全牛深度报道《痛中思痛:大安全时代EOC与SOC酝酿变法》一文中,我们曾强调过GIS系统在打造下一代可视化、智能化应急响应系统中的重要性(无论是公共卫生安全、基础建设、自动驾驶还是疫情或网络安全应急响应都是如此)。

特朗普一天的行踪

与此同时,GPS数据的安全性问题也日益凸显。在《史上最大规模手机位置数据文件披露:可追踪特朗普行踪》一文中,纽约时报隐私项目通过不包含任何个人信息的海量位置数据,就可以精确锁定特朗普的行踪(上图)。安全牛认为:移动设备位置信息可能是除了DNA以外,第二个完全无法“脱敏”和“匿名化”的超级隐私数据。数年前,仅仅一个健身手环的APP位置数据,就可以精确描绘出美墨边境巡逻队的行动路线,而更多的来自蓝牙、GPS、手机基站的海量定位信息,足以提取一个人最底层的秘密和隐私,例如癖好、婚外情、职业、爱好、身份、财富、健康、人际网络等等。

GPS不仅仅是个人隐私的“超级黑洞”,其安全性问题造成的国民经济损失也相当惊人,根据英国政府科学办公室发布的一份报告,如果GPS出现重大故障,英国每天会损失10亿英镑。而根据Mapillary的报告,物流和快递公司每年因地图问题导致的里程和时间成本损失高达60亿美元。

价值越高诱惑越大,GPS正遭受越来越多的攻击,最常见的就是信号干扰和拒绝服务攻击(包括欺骗)。GPS欺骗会假冒GPS卫星的信号发送虚假数据,从而使设备无法获得准确的位置或根本无法获得任何位置信息。

过去,GPS欺骗活动往往与国家黑客或电子战部队联系在一起,美国高级防御研究中心(C4ADS)曾发布过一个《俄罗斯和叙利亚的GPS欺骗事件调查报告》,详细描述了俄罗斯在克里米亚、黑海和叙利亚的GPS干扰活动,并提供了俄罗斯电子战部队在普京公共活动期间感染GPS信号的证据。

去年底《麻省理工学院技术评论》曾发表一篇深度文章,报道了上海港口发生的一系列GPS欺骗“幽灵船”事件:AIS系统上的船舶位置信号在港口周围发生“跳跃”。报道透露该地区一系列大规模GPS欺骗事件可能与盗挖黄浦江河沙和走私原油的不法分子有关,他们利用GPS欺骗和干扰技术成功骗过负责港口监控调度的AIS系统。

但令人震惊的是,不法分子的GPS欺骗的干扰范围甚至覆盖到了部分市区,上图是上海市区内自行车GPS应用被干扰后的“诡异”轨迹。这一系列事件也意味着GPS安全脆弱性,以及GPS欺骗技术在不法分子中的扩散(一套足以影响自动驾驶汽车的个人干扰设备价格不到300美元)对公共安全已经构成严重威胁。

安全牛查阅了美国海岸警卫队的全球GPS事件状态报告发现,除上海外,2019年全球包括埃及塞得港、苏伊士港、利比亚港等多个港口都发生过类似的GPS干扰或服务中断事件。此外,新西兰航空公司在2019年7月18日遭遇了长达2-3小时的ADS-B地面站通讯中断。鉴于全球超过半数的海难事故与导航系统问题有关,GPS频发的安全性问题已经严重威胁到人民生命财产和交通运输安全。

除了工业GPS应用外,一些流行的个人GPS应用,例如地图导航也存在很多意想不到的“低科技漏洞“,一位德国艺术家曾用99部手机发起“低科技攻击”,在Google地图中人为制造了一起“虚拟交通拥堵”。(视频如上)

除了对GPS进行更直接的攻击外,美国GPS系统的垄断地位也岌岌可危。中国已经发射了自己的北斗卫星系统,而俄罗斯(GLONASS)、日本(QZSS)、印度(NavIC)和欧盟(Galileo)等其他国家也越来越多地试图用自己的技术来“增强”GPS系统,如下图所示:

零信任才是GPS安全的“特效药”

GPS属于一种称为定位、导航和计时服务的技术——PNT。GPS以在地图上精确定位设备的能力而闻名,但在同步时钟方面也至关重要,特别是在毫秒级至关重要的极其敏感的操作中。

由于该技术的经济重要性日益提高,以及攻击风险的日益增加,迫使特朗普政府采取行动。在2月12日宣布生效的新行政命令中,美国政府为商务部创建了一个框架,以率先确定对美国现有PNT系统的威胁,并确保整个政府的采购流程都将这些威胁考虑在内。

此过程以“PNT配置文件”的形式出现,白宫官网上发布的行政命令对此进行了描述:

PNT配置文件将使公共和私营部门能够识别依赖于PNT服务的系统、网络和资产;确定适当的PNT服务;检测PNT服务的中断和操纵;并管理依赖于PNT服务的系统,网络和资产的相关风险。一旦提供PNT配置文件,则应每2年对其进行审查,并在必要时进行更新。

换句话说,这些配置文件旨在确保系统彼此协同工作并进行身份验证,以使系统在设计中不存在(显而易见的)安全漏洞。

但是业内专家似乎并不太看好特朗普行政命令的“疗效“。

“这是很好的第一步,但不太可能在保护PNT基础架构方面发挥作用。” Booz Allen Hamilton副总裁凯文·科金斯(Kevin Coggins)负责公司的GPS弹性实践,他解释说:“在一个系统中,如果只是盲目地集成了这些(合规)内容,而没有一开始就将安全性考虑在体系结构设计中……那么,你面对的就是扩大的威胁面。”

关于特朗普行政命令,科金斯认为:

下一步,联邦政府应考虑跨行业标准,这些标准应当具备系统多样性、频谱多样性和零信任架构。

系统多样性解决了对单个系统(例如GPS)的依赖性——一些PNT替代方案对GPS过于依赖,因此,如果GPS受到干扰,系统服务就会中断。

频谱多样性包括使用其他频率来承载PNT信息(例如在使用eLORAN或multi-GNSS的系统中),而不仅仅是具有易于被锁定目标的单一频率。

最终,零信任体系结构将使PNT接收器能够在使用之前验证导航和定时信号,而不是盲目地信任它们。

其实不仅仅是GPS,整个卫星定位领域的安全性面临的风险和关注热度都在不断增加。GPS和GIS相关的安全(可信)问题已经成为对新经济威胁最大安全问题之一,反GPS欺骗安全技术,尤其是零信任架构垂直应用的市场需求有望急速飙涨。

参考资料

美国限制GIS人工智能软件出口:

https://www.reuters.com/article/us-usa-artificial-intelligence/u-s-government-limits-exports-of-artificial-intelligence-software-idUSKBN1Z21PT

美国海岸警卫队全球GPS问题报告:

https://navcen.uscg.gov/?Do=GPSReportStatus#definition

美国高级防御研究中心C4ADS《俄罗斯与叙利亚的GPS欺骗调查报告》:

https://www.c4reports.org/aboveusonlystars

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:安全牛

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 7款超酷的物联网APP和如何开发一个物联网产品APP

    原文地址:https://dzone.com/articles/7-cool-iot-apps-and-how-to-develop-one

    双愚
  • 大疆靠边站 解密不为人熟知的无人机市场

    临近4月,罂粟花开。中国广东省河源市城南的偏僻山区,一架白色的四旋翼无人机腾空而起,“嗡”的一声,很快跃到了1000米的高空,在方圆十几里的山林中来回盘旋升降。...

    机器人网
  • 为无人机装上“慧眼”,这次极飞抢跑大疆一步

    11月22日,极飞科技发布了“天目”无人机视觉系统 (XAIRCRAFT “XCope” UAV Vision System)。该系统融合了双目避障和地形视觉模...

    机器人网
  • 人工智能在医疗:改善药物依从性、虚拟医疗助手、智能看护、智能药物研发...

    大数据文摘
  • TensorFlow.js:零基础在小程序上实现机器学习

    微信日前官宣小程序支持AR功能。欧莱雅集团旗下阿玛尼美妆的官方微信小程序——“阿玛尼美妆官方精品商城”成为首个支持动态AR试妆的小程序,标志着全新的线上零售体验...

    新智元
  • 网络节点表示学习论文笔记01—AAAI2018超网络节点表示学习

    【导读】近日,针对在真实世界网络数据中存在的超边的问题,也就是说节点关系经常超出成对关系的范围,来自清华大学与康奈尔大学的研究者发表论文提出了“深度超网络嵌入”...

    WZEARW
  • 盘点2015年无人机五大技术

    2015年,无人机发展速度迅猛,国内外无人机企业开始你追我赶,不断刷新着无人机新技术。市场上的竞争说白了还是技术上的积累与比拼,那么,问题来了,今年无人机企业在...

    机器人网
  • 2018年7大预测

    2017年是不平凡的一年,从一月的支付宝集五福,到十二月的乌镇互联网大会,每个月甚至每周都有爆炸性的事件出现,从共享单车的暴增,到共享经济的集体死亡,新的机遇和...

    企鹅号小编
  • 投融资汇总 | 上周(9.01-9.9)多家行业级无人机企业获得融资

    上周硬科技领域投融资事件一共30起,人工智能领域发生18起融资事件,占比61%;生物医药领域发生7起融资事件,占比23%;区块链发生2起融资事件,占比7%;物联...

    镁客网
  • 物联网在物流中的应用

    物联网是指通过各种信息传感设备,如传感器、射频识别(RFID)技术、全球定位系统、红外感应器、激光扫描器、气体感应器等各种装置与技术,实时采集任何需要监控、连接...

    广州接点智能
  • 车载多传感器融合定位方案:GPS +IMU+MM

    高德定位业务包括云上定位和端上定位两大模块。其中,云上定位主要解决Wifi指纹库、AGPS定位、轨迹挖掘和聚类等问题;端上定位解决手机端和车机端的实时定位问题。...

    点云PCL博主
  • 车载多传感器融合定位方案:GPS +IMU+MM

    高德定位业务包括云上定位和端上定位两大模块。其中,云上定位主要解决Wifi指纹库、AGPS定位、轨迹挖掘和聚类等问题;端上定位解决手机端和车机端的实时定位问题。...

    3D视觉工坊
  • 【金猿案例展】老百姓大药房——新零售数字化升级

    老百姓大药房(上海证劵交易所主板上市公司,股票代码603883)是中国具有影响力的药品零售连锁企业,系中国药品零售企业综合竞争力百强冠军、中国服务业500强企业...

    数据猿
  • 投融资汇总|本周(12.2-12.8),谷歌罕见的在日本出手

    本周硬科技领域投融资事件一共45起,人工智能领域发生21起融资事件,占比46%;生物医药领域发生8起融资事件,占比18%;物联网领域发生6起融资事件和1起收购事...

    镁客网
  • 一文读懂:无人机无线电干扰原理

    1、引言 近年来无人机(本文指民用多轴飞行器)正以空前的速度普及,由此引发的关于安全的忧虑日益增多。许多有关部门甚至个人都希望采取一些措施,阻止无人机飞临敏感区...

    机器人网
  • 用傻瓜式编程搞定大数据分析

    “零编码”运动由比尔·盖茨发起,史蒂芬·乔布斯对其进行了完善。这项运动正逐渐延伸到资本市场。1979年,在乔布斯参观帕洛阿尔托研究所中,当他看到 了命令行界面...

    CDA数据分析师
  • 频繁刷屏网安圈的微软安全,这次给我们什么启示?

    1、2021年1月,微软CEO宣布微软在2020年的安全业务收入达到100亿美元,年增长率超过40%。一时之间,安全行业纷纷热议“原来微软才是全球最大的网安厂商...

    腾讯安全
  • 美国免费为全世界提供GPS服务,为什么中国还要搞“北斗”?

    摘要:12月27日,在国务院新闻办公室新闻发布会上,中国卫星导航系统管理办公室主任、北斗卫星导航系统新闻发言人冉承其宣布——北斗三号基本系统完成建设,于今日开始...

    钱塘数据
  • 投融资汇总|本周(7.28-8.3),亚马逊加码云服务

    本周硬科技领域投融资事件一共52起,人工智能领域发生21起融资事件和2起收购事件,占比43%;生物医药领域发生10起融资事件和1起收购事件,占比21%;区块链领...

    镁客网

扫码关注云+社区

领取腾讯云代金券