cd e GPS radionavigazione

INFRASTRUTTURE CRITICHE
GIANMARCO BALDINI
L’UTILIZZO DI GNSS IN
INFRASTRUTTURE CRITICHE
E SUE VULNERABILITÀ
O
1.
2.
3.
4.
6
ggi, sistemi di localizzazione o navigazione sono utilizzati in molti campi e per
molte applicazioni. Esistono cinque diversi tipi di navigazione:
Pilotaggio (il più antico) basato sull’identificazione di siti riconosciuti come una montagna o
un faro ottico per sapere la propria posizione o
dove si è diretti.
Orientazione che si basa sul calcolo della posizione da un punto di origine definito e dei riferimenti basati su fenomeni naturali come il polo
magnetico terrestre.
Navigazione celeste che utilizza un riferimento
temporale e gli angoli tra punti di riferimento di
corpi celesti come sole, stelle o pianeti per calcolare orientamento, latitudine e longitudine.
Radio Navigazione, che utilizza delle sorgenti a
radiofrequenza con posizioni conosciute sulla
terra o nello spazio.
Safety&Security lug-ago 2009
5. Navigazione Inerziale, che si basa sul calcolo
della posizione mediante strumenti inerziali (accelerometri, giroscopi) che forniscono direzione
e accelerazione in ogni momento. Queste informazioni sono correlate con la conoscenza della
posizione e velocità iniziale per fornire la posizione.
Tutte queste forme di navigazione sono state utilizzate nel corso dell’umanità’, ma la Radio Navigazione è diventata la tipologia preminente nell’ultimo secolo.
Oggi esistono diversi sistemi di radio navigazione
sia terresti (come il LORAN) che basati su satelliti.
I sistemi satellitari attuali sono l’americano GPS, il
russo GLONASS e, a breve, il sistema europeo Galileo. Anche sistemi di navigazione satellitari indiani e cinesi sono in via di progettazione. Il termine
utilizzato per descrivere questo tipo di navigazione
è GNSS, acronimo per Global Navigation Satellite
Systems o sistemi di navigazione satellitare a livello globale.
I sistemi di navigazione satellitari sono oggi utilizzati in molti settori diversi. A par tire dal traspor to marittimo,
GNSS ha le più svariate applicazioni
nel traspor to su strada, agricoltura,
la sicurezza pubblica, traffico aereo
ed altri. Altre applicazioni avranno
un’impor tanza sempre crescente come i Location Based Ser vices, dove
la posizione di un utente è utilizzata
per offrire in modo più efficiente tutta una serie di ser vizi. L’esempio
classico è quello di un palmare che
■ Che cosa è il
GNSS
Questo paragrafo ha l’intenzione di
spiegare alcuni concetti di base del
GNSS. Una descrizione più dettagliata è in [12].
GNSS si basa sul principio della trilaterazione. In trilaterazione, la posizione sconosciuta di un punto (per
esempio l’utente) è determinata misurando la lunghezza dei lati di un
triangolo tra il punto sconosciuto e
due altri punti la cui posizione è conosciuta con esattezza (i satelliti). La
Sin dall’inizio dei tempi, l’essere umano ha
cercato di trovare o inventare degli
strumenti per determinare la sua posizione
e la sua direzione sulla superficie
terrestre. Nei secoli passati, questa
conoscenza è stata essenziale per il
commercio o l’esplorazione.
fornisce informazioni su negozi o ristoranti localizzati nell’area dove un
utente sta viaggiando.
Alcune di queste applicazioni sono
utilizzate all’interno di un’infrastruttura critica o sono utilizzate per fornire ser vizi critici alla società. Gran
par te delle infrastrutture critiche nel
campo del traspor to (marittimo, aereo o stradale) sono o saranno a breve basate su GNSS. Per esempio,
GNSS è utilizzato per fornire la posizione delle pattuglie di polizia al comando centrale per meglio coordinare le loro attività o migliorare la loro
capacità operativa.
In alcuni casi, GNSS è utilizzato come strumento per salvaguardare
l’ambiente come nel caso delle applicazioni per regolare la pesca in
mare o il traspor to di sostanze pericolose.
Considerando l’impatto crescente
dei GNSS nelle nostre vite, è essenziale identificare e valutare le vulnerabilità dei GNSS e individuare delle
protezioni adeguate.
distanza del punto con posizione sconosciuta dai satelliti è calcolata mediante un segnale radio trasmesso
da ogni satellite. Il segnale radio viaggia approssimativamente (per via della presenza di atmosfera) alla velocità della luce (C). La distanza è calcolata come D=C*T dove T è il tempo impiegato per trasmettere il segnale. Il tempo T deve essere calcolato con assoluta precisione considerato le distanze relativamente brevi tra
un punto sulla super ficie terrestre e i
satelliti del sistema GNSS. Un errore
anche solo di 1 milionesimo di secondo è equivalente ad un errore di circa
300 metri, che non è accettabile in
molte applicazioni.
Per ottenere una precisione elevata
occorrono orologi molto precisi. I satelliti GNSS sono equipaggiati con
orologi atomici di grande stabilità e
precisione. Nel caso del GPS, ogni
satellite ha quattro orologi atomici:
due orologi basati sul rubidio e due
basati sul cesio. Nonostante la loro
precisione, diverse cause possono
generare errori e vari tecniche sono
utilizzate per correggere i riferimenti
temporali.
Per individuare la posizione di un
utente sulla super ficie terrestre un
solo riferimento satellitare non è sufficiente, ma ne occorrono almeno
quattro. Tre satelliti sono utilizzati
per identificare la posizione nello
spazio, mentre il quar to satellite è
utilizzato per migliorare la sincronizzazione nel ricevitore. Il quar to satellite è necessario perché l’orologio utilizzato al ricevitore non ha la stessa
precisione degli orologi atomici presenti sui satelliti, per motivi economici. Un orologio atomico può costare
più di 100,000 Euro e renderebbe
molte applicazioni del GNSS non adeguate dal punto di vista commerciale.
In genere un ricevitore GNSS è dotato di un orologio al quarzo che ha un
livello di precisione elevato ma inferiore a quello degli orologi atomici. La
conseguenza è che il ricevitore non è
per fettamente sincronizzato con i segnali ricevuti dai satelliti ed è quindi
necessario il segnale di un quar to satellite per migliorare la sincronizzazione e quindi la precisione del riferimento geografico. Ricordiamo, infatti, che in GNSS, la misura temporale
è equivalente alla distanza. Nella
realtà, più sono i segnali satellitari
utilizzati dal ricevitore GNSS e migliore è il livello di risoluzione. In genere,
cinque segnali satellitari sono sufficienti per ottenere la precisione necessaria per molte applicazioni.
Di conseguenza un sistema GNSS utilizza un grande numero di satelliti nello spazio per fornire una precisione
adeguata nelle zone di coper tura.
Il sistema americano GPS è stato progettato per ventiquattro satelliti, anche se, in effetti, ci sono circa 28-30
satelliti sempre in operazione. Sono
sistemate su varie orbite a un’altitudine di 20,138 Km. Il sistema russo
GLONASS è composto di ventiquattro
satelliti, anche esso su varie orbite
ad una altitudine di circa 19,100 Km.
Il sistema europeo Galileo utilizzerà
trenta satelliti distribuiti su tre piani
orbitali a un’altitudine di 23,222 Km.
In effetti, i satelliti e il ricevitore non
sono gli unici componenti di un sistema GNSS.
lug-ago 2009 Safety&Security
7
Figura 1
Un sistema GNSS è composto da tre
‘segmenti’ come si può vedere dalla
figura 1.
Lo ‘Space Segment’ è composto dai
satelliti gia’ descritti, l’‘user segment’ sono i ricevitori GNSS, mentre
il ground segment svolge una serie di
funzioni per garantire la sincronizzazione temporale e la gestione del sistema.
Specificatamente, le funzioni del
‘ground segment’ sono di:
• Monitorare il corretto funzionamento del satellite
• Stimare lo stato dell’orologio atomico su ogni satellite e definire i parametri di correzione da trasmettere.
• Definire le orbite di ogni satellite
per predire i dati di ephemeris insieme con l’almanacco.
• Determinare le eventuali correzioni
per la direzione e la posizione dei
satelliti e trasmetterle.
Come descritto, una delle voci è la definizione dei parametri di correzione.
Anche se dotati di orologi atomici, i
satelliti possono avere delle derive e
potrebbero non essere completamente sincronizzati. Inoltre il segnale proveniente dai satelliti verso il ricevitore
può essere modificato da vari fattori
legati a variazioni nella ionosfera o
troposfera che devono essere continuamente corretti.
Vediamo adesso più in dettaglio il tipo
di segnale trasmesso dai satelliti.
Ogni sistema GNSS definisce i propri
segnali e le frequenze utilizzate. In
questo ar ticolo, descriveremo i segnali del sistema americano GPS da-
Tabella 1
8
Safety&Security lug-ago 2009
to che è quello oggi più diffuso.
I segnali di radionavigazione GPS sono trasmessi su frequenze por tanti
(‘carrier’) di 1575 MHz (L1), 1227
MHz (L2). Queste frequenze por tanti
sono utilizzate per traspor tare i segnali GPS mediante modulazione CDMA. Due modalità sono definite (anche chiamate codici): il codice C/A
per impieghi civili ed il codice P. Una
terza frequenza GPS, denominate L5,
è riser vata nella bande di frequenza
1164–1188 MHz.
Infine, il Ground Segment utilizza dei
canali di comunicazione con i satelliti
alle frequenze di 1783 MHz e 2275
MHz.
Considerata la distanza dei satelliti
dalla super ficie terrestre, i segnali arrivano al ricevitore GPS con livelli di
potenza estremamente bassi. Utilizzando un’antenna di tipo comune (con
un guadagno di 3dB), le potenze ricevute sono dell’ordine di -128.5
dBm12 per C/A and -131.5 dBm per
P. Queste potenze sono simili od inferiori al livello di rumore di un normale
ricevitore GPS. L’occupazione di banda dei due segnali è rispettivamente
di 2.046 MHz per il C/A e 20.46 MHz
per P.
Valori così bassi di potenza è una delle principali vulnerabilità del sistema
GPS. Vedremo nei paragrafi seguenti
che è molto facile implementare Denial Of Ser vice (DOS) del ser vizio
GPS. Il sistema europeo Galileo ha
una struttura di segnali simili ma più
sofisticata ed avanzata. Galileo ha
molte piu’ bande allocate per radiosegnali di navigazione rispetto al GPS.
La tabella 1 mostra la lista delle frequenze allocate a Galileo.
Tabella 2
Alcune di queste frequenze sono
‘condivise’ con il sistema GPS come
si può vedere dalla seguente tabella
2, che fu il risultato di una lunga serie di discussioni a livello internazionale, culminate con la conferenza
WRC 2003.
A confronto dei segnali GPS, Galileo
avra’ anche una maggiore allocazione di banda per ciascun carrier. Infatti, E5 ha una larghezza di banda di 50
MHz, E6 di 40 MHz, E1/L1/E2 di 8
MHz per E1 e E2. La maggiore larghezza di banda è non solo un vantaggio notevole per offrire una serie
di nuovi ser vizi rispetto a GPS, ma offre anche una maggiore resistenza rispetto a inter ferenze radio di tipo intenzionale o non-intenzionale.
■ GNSS ed
infrastrutture
critiche
GNSS sono utilizzati oggi in molti diversi settori da aree puramente commerciali ad altre di specifico interesse scientifico includendo applicazioni
di carattere militare.
GNSS sono in genere utilizzati per migliorare l’efficienza e ridurre la complessità di sistemi utilizzati in precedenza.
Storicamente, le prime applicazioni
sono state di carattere militare per
determinare con precisione la posizione di forze militari o per controllare la posizione di lancio dei missili intercontinentali durante la cosiddetta
‘guerra fredda’.
Il mondo commerciale s’interessò
presto a questa nuova tecnologica
10
che forniva un’efficienza migliore rispetto ad altri sistemi di navigazione
basati su riferimenti presenti sulla
super ficie terrestre. Le prime applicazioni sono state prevalentemente
di tipo marittimo, dove determinare
la posizione della nave, è sempre stato un problema fondamentale per la
navigazione.
La diffusione del GNSS verso gli altri
domini è stato all’inizio ostacolato
dal costo elevato dei ricevitori satellitari. Al diminuire del costo ed all’incremento della precisione, altri domini hanno incominciato ad utilizzare il
GNSS. Oggi, un ricevitore satellitare
costa qualche decina di euro e l’accuratezza e di qualche metro. L’evoluzione del GNSS con il progetto europeo Galileo e con l’evoluzione del
GPS americano verso GPS III migliorerà ancora l’accuratezza e fornirà
nuovi ser vizi.
Nel campo marittimo, una delle applicazioni più impor tanti nel campo marittimo è il AIS (Automatic Identification System). Tutte le navi di più di
300 tonnellate e le navi passeggeri,
devono essere equipaggiate con un
transpoder AIS che trasmette continuamente dati relativi alla identità
della nave, la sua direzione, posizione e velocità.
Il sistema AIS è utilizzato per controllare che le navi viaggiano od operano
nel rispetto delle norme di navigazione marittima. Un’applicazione simile
è relativa al controllo dei pescherecci
per verificare che non peschino in zone proibite durante alcuni periodi dell’anno. Attività criminali come immigrazione illegale, contrabbando, pesca illegale hanno tutto l’interesse
Safety&Security lug-ago 2009
ad evitare questo tipo di controllo e,
come vedremo nel paragrafo seguente, ad implementare attacchi di sicurezza per modificare i dati di posizione.
Ma è in altri campi di traspor to, che
l’utilizzo di GNSS ha avuto un’esplosione negli ultimi anni grazie alla diminuzione dei costi dei ricevitori satellitari. A livello individuale, navigatori satellitari sono utilizzati comunemente per fornire indicazioni al guidatore.
Ma altri settori di traspor to più critici
per il benessere della società sono
diventati sempre più dipendenti dal
GNSS. Il settore del traspor to di merci su ruota (come containers) utilizza
sempre più frequentemente la navigazione satellitare per migliorare l’efficienza. Diversi progetti pilota sono
stati implementati per il traspor to
delle sostanze pericolose come prodotti chimici nocivi o sostanze altamente infiammabili. Si sta adesso
passando dalla fase prototipale all’implementazioni commerciali.
Un settore altamente critico è il traspor to aereo dove l’utilizzo del GNSS
è stato considerato per lungo tempo,
ma non è stato applicato in modo determinante per i rigidi requisiti operativi del traffico aereo in termine di accuratezza e reliability soprattutto in
fase di decollo ed atterraggio.
Il nuovo sistema europeo Galileo o il
sistema EGNOS che lo anticiperà può
fornire le capacità necessarie per
l’applicazione del GNSS al traffico
aereo.
Un’applicazione
impor tante
del
GNSS è legata alla sua capacità di
fornire un riferimento temporale, più
che un riferimento di tipo spaziale.
Responsabili di diverse infrastrutture
critiche hanno incominciato a utilizzare questo ser vizio o stanno pianificando il loro utilizzo.
I settori interessati sono:
• Infrastrutture per la produzione o
distribuzione della energia elettrica
• Infrastrutture di telecomunicazioni
• Infrastrutture di tipo finanziario.
Il blackout dell’Agosto 2003 in USA
ha dimostrato il bisogno per un miglioramento della sincronizzazione
temporale della griglia di distribuzione dell’energia elettrica. Il documento di analisi (riferimento [2]) del
blackout condotto dal Nor th American Reliability Council (NERC) ha suggerito l’utilizzo di installare sistemi di
sincronizzazione basati su GPS per
migliorare la risposta del sistema in
caso di fallimento. Lo stesso suggerimento è valido in ambito europeo, dove si potrà utilizzare Galileo (vedi
[4]).
Il riferimento temporale del GNSS
può essere utilizzato anche in altri
ambiti come (riferimento [3]):
• Controllo sulla generazione dell’energia. Generazione e carico di
energia elettrica deve essere in
equilibrio in ogni momento. Un sistema automatico è in genere presente per ottimizzare continuamente la generazione di energia. Errori
in frequenze o misure di potenza
possono essere rilevate con accurate misure temporali.
• Protezione del sistema. Errori nella
distribuzione di energia o perdita di
sincronizzazione devono essere registrati con una precisione temporale molto elevata.
• Misure sui fasori. Per mantenere
l’integrità’ di sistema, schemi di
controllo di stabilità sono creati
che hanno bisogno di un riferimento temporale con una precisione
migliore di 1µs.
Riferimenti temporali di precisione
sono utilizzati in infrastrutture di comunicazione per migliorare il livello di
sincronizzazione tra i diversi elementi di rete:
• In PSTN (Public Switched Telephone Network), le connessioni rappresentate da time slots devono essere sincronizzati tra i diversi switch
digitali che sono presenti nella rete. Il peggioramento della sincronizzazione può creare jitter e transienti di fase che peggiorano la qualità
generale del ser vizio.
(Synchronous
Optical
• SONET
Networks), differenze di frequenze
tra gli elementi del network possono indurre, in modo indiretto, perdite di sincronizzazione che causano
perdite di connessione ed errori
sulla trasmissione dati. Il riferimento temporale del GNSS puo’ essere
utilizzato per re-sincronizzare gli
elementi di rete
• In reti GSM/UMTS la sincronizzazione tra le base stations e gli altri
elementi di rete è un fattore essenziale per assicurare un corretto
hand-over senza perdere chiamate
(see [6]). L’utilizzo del GNSS come
riferimento temporale è sempre più
utilizzato anche per motivi di ordine
economico considerando la grande
quantità di base stations in rete
GSM/UMTS.
In questo paragrafo, abbiamo descritto l’utilizzo del GNSS in infrastrutture
critiche come il transpor to (marittimo, stradale ed aereo), produzione e
distribuzione di energia elettrica e infrastrutture di comunicazioni.
Molte altre applicazioni utilizzano o
utilizzeranno GNSS, specialmente,
quando i nuovi sistemi come Galileo
forniranno una maggiore accuratezza
e nuovi ser vizi.
GNSS ha un’impor tanza sempre maggiore nelle nostre vite. È lecito quindi
chiedersi quali sono le vulnerabilità
dei sistemi GNSS e quali sono le possibili contromisure.
■ Vulnerabilità del
GNSS
Un’analisi delle vulnerabilità del
GNSS è stato condotto da diversi istituti e centri di ricerca nel mondo. Uno
degli studi più completi è quello prodotto dal John A. Volpe National Transpor tation Systems Center (riferimento [7]) dove sono state prese in
considerazione vulnerabilità legate
specialmente al sistema americano
GPS ed al settore del traspor to.
In [7], le vulnerabilità sono classificate in base ad un tipo di disturbo inten-
zionale o non-intenzionale.
Disturbi di tipo non-intenzionale
Nella categoria dei disturbi non intenzionali, possiamo individuare:
• Inter ferenza ionosferica dove il fenomeno della scintillazione può variare il segnale GPS sia in ampiezza che in fase. Questo tipo di disturbo si accentua alla presenza di
macchie solari ed altre per turbazioni create dal sole. Questo fenomeno è ben conosciuto ed è possibile
compensare in par te utilizzando ricevitori a doppia frequenza o trasmettendo segnali di correzione.
• Inter ferenza non intenzionale prodotto da ser vizi di comunicazione o
broadcast come quello televisivo.
In molti casi, può succedere che un
sistema di broadcast come la TV digitale possa inter ferire con il segnale GNSS che, come abbiamo visto, trasmette nelle bande di frequenza tra 1.2 ed 1.6 GHz. L’interferenza puo’ avvenire, anche se lo
spettro assegnato alla TV digitale è
in banda di frequenza completamente diversa. L’inter ferenza nelle
bande di GNSS è in genere dovuta
alla creazione di armoniche spurie
prodotte da amplificatori non propriamente configurati o schermati.
Anche se la potenza delle spurie è
molto ridotta rispetto al segnale iniziale, è necessario considerare che
i segnali GNSS hanno delle potenze
molto basse (-150 dbm, quando arrivano ai ricevitori GNSS sulla super ficie terrestre. Quindi anche un
segnale spurio di bassa potenza
può creare un’inter ferenza significativa. Questo tipo d’inter ferenza
può essere prodotta non solo da TV
digitale ma anche altre sorgenti di
radiofrequenza come trasmettitori
in banda UHF/VHF, Radar o trasmettitori UltraWideBand. È comunque necessario notare che l’introduzione di una nuova tecnologia
come UWB e la definizione dei relativi standard e allocazioni di banda
è sempre fatta dopo uno studio attento delle possibili inter ferenze.
Riteniamo che un’attività’ di monitoraggio delle inter ferenze elettromagnetiche sia utile per individuare disturbi ai sistemi GNSS. Ovviamente
la difficoltà principale di questa atti-
lug-ago 2009 Safety&Security
11
vità è che le super fici da monitorare
sono molto vaste e spesso le inter ferenze sono di carattere transitorio. Un
metodo più efficace potrebbe essere
basato sulla raccolta di repor t su degradazione della qualità di ser vizio
dei ricevitori GNSS durante il loro normale utilizzo.
Disturbi di tipo intenzionale
La forma di disturbo più semplice da
implementare è il ‘jamming’, che si
può definire come l’emissione di
energia a radio frequenza con potenza sufficiente e con caratteristiche tipiche da degradare od eliminare la capacità operativa di un ricevitore
GNSS.
Considerate le bassa potenze del radiosegnale GNSS alla super ficie terrestre, è sufficiente anche un emittore di bassa potenza (1 Watt) montato
su un pallone aerostatico per ‘jammar’ e un’area estesa anche per centinaia di chilometri quadrati (vedi riferimento [9]). Secondo il tipo di segnale emesso dal jammer, un potenziale
criminale può aumentare l’efficacia
dell’attacco. Tecniche di cancellazione d’inter ferenza sono state sviluppate da ricevitori GNSS ma se il segnale
proveniente dal ‘jammer’ è molto simile al segnale reale (per esempio utilizzando la stessa modulazione
spread-spectrum), queste tecniche
sono meno efficaci.
‘Jammers’ per il GPS sono già disponibili con diversi livelli di per formance
e di costo. Alcune versioni possano
costare anche meno di 800 Euro e
forniscono potenze da 1 Watt a 100
Watt. È comunque molto semplice implementare un GPS ‘jammer’ utilizzando componenti commerciali.
Dispositivi con potenza di disturbo superiore possono essere costruiti facilmente ma hanno ovviamente un costo
più elevato. Una limitazione è il tipo di
alimentazione per questi dispostivi.
Dato che nella maggiore par te dei casi, non è possibile collegarli a una rete di distribuzione di energia elettrica
(come nel caso di un ‘jammer’ montato su un aerostato), il disturbo può durare per un periodo di qualche ora o
giorno a seconda della potenza emessa e delle batterie utilizzate.
L’effetto sul ricevitore è di creare errori anche abbastanza elevati nel cal-
12
colo della posizione del ricevitore oppure una perdita di ser vizio totale.
In base alla qualità del ricevitore, il
tempo di ripristino del ser vizio può durare da qualche secondo a qualche
minuto, una volta che il segnale di disturbo è rimosso.
L’attacco mediante ‘jamming’ sui ricevitori GPS può colpire un numero limitato di ricevitori GNSS e i loro utenti. Un attacco, con conseguenze più
gravi, può essere attuato direttamente sul segmento di controllo a terra
del sistema GNSS mediante ‘jamming’ o diretto danno fisico. L’effetto
è di un degrado progressivo del segnale GNSS su tutta l’aerea di responsabilità del centro di controllo e
può quindi coinvolgere milioni di utenti e infrastrutture critiche in intere nazioni o regioni geografiche. Questo tipo di attacco è comunque molto più
difficile da implementare dato che il
centro di controllo è comunque, in genere, equipaggiato di sistemi di cancellazione di inter ferenza molto più
sofisticati di un semplice ricevitore.
Inoltre, un sistema GNSS può essere
progettato con centri di controllo ridondati per minimizzare l’impatto nel
caso del fallimento di uno di essi.
Un caso estremo è ovviamente l’attacco diretto su uno o più satelliti
GNSS, che richiede comunque risorse
molto più sofisticate di quelle a disposizione di un criminale generico. Inoltre è lecito supporre che un attacco di
questo tipo susciterebbe una reazione immediata a livello governativo o
militare.
Un altro tipo di attacco è lo ‘spoofing’
dove l’intenzione è di sincronizzare il
ricevitore su un falso segnale GNSS
per fornire una falsa posizione all’utente finale. Un esempio di utilizzo
dello ‘spoofing’ è quello di fornire false informazioni al centro di controllo
marittimo sulla posizione di una nave
per nascondere attività illegali come
la pesca in zone interdette. Da Gennaio 2005, la legge Europea (Commission Regulation) N. 2244/2003 richiede a tutte le navi da pesca di lunghezza superiore a 15 metri, che operano nelle aeree di pesca di responsabilità della Comunità Europea di dotarsi di un dispositivo VMS satellitare
(adesso basato su GPS) per fornire la
Safety&Security lug-ago 2009
posizione e altri dati a un centro di
controllo marittimo. Lo ‘spoofing’ del
dispositivo permetterebbe ad attività
criminali di operare in zone proibite alla pesca.
Un altro caso di applicazione di ‘spoofing’ è per fornire un segnale non corretto ad un ricevitore utilizzato per sincronizzare una rete elettrica od un’infrastruttura di comunicazione. In questo caso l’intenzione è di fornire un riferimento temporale sbagliato per degradare le prestazione delle rete.
Un attacco mediante ‘spoofing’ è più
difficile da individuare di un semplice
‘jamming’ dato che il falso segnale è
creato per simulare nel modo più preciso possibile un verso segnale
GNSS.
L’implementazione dello ‘spoofing’ è
molto piu’ complessa rispetto al ‘jamming’ dato che il segnale GNSS deve
essere riprodotto con esattezza in
modo tale da ingannare il ricevitore
GNSS.
Nonostante questo, professionale
GPS spoofer sono già disponibili a un
costo ancora elevato (dell’ordine di
100,000 Euro) ma nuovi modelli potrebbero essere accessibili a costi inferiori.
L’attacco mediante ‘spoofing’ è stato
prima descritto in [10] dove una serie
di contromisure furono anche individuate per minimizzare od eliminare
questo tipo di attacco.
Queste contromisure sono basate su
discriminazione su ampiezza del segnale, discriminazione sul tempo di
arrivo del segnale, discriminazione
sull’angolo di arrivo e così via. Una
contromisura è basata in par ticolare
su autenticazione basata su crittografia. Questo tipo di ser vizio è disponibile per il GPS militare per alcuni servizi del sistema Galileo come il PRS
creato per applicazioni di Public Safety e militari. Per questi ser vizi e applicazioni, l’attacco di ‘spoofing’ è
quasi impossibile, mentre è una minaccia realistica per segnale C/A del
GPS e l’Open Ser vice di Galileo che
non avranno autenticazione.
Riferimento [11] descrive l’implementazione di un sistema di mitigazione
dello ‘spoofing’ basato sulla discriminazione dell’angolo di arrivo utilizzando multiple antenne.
Infine una forma più semplice di
‘spoofing’ è il ‘meaconing’ dove un
segnale GNSS viene ricevuto da un ricevitore modificato e quindi ritrasmesso con un ritardo configurabile.
L’obiettivo è sempre di confondere altri ricevitori nell’area.
Mentre il ‘meaconing’ è relativamente
facile da implementare modificando
un GNSS repeater dove il segnale è
una riproduzione dell’originale, un ricevitore abbastanza sofisticato può
confrontare il segnale ‘meaconed’
con gli altri segnali reali da altri satelliti e determinare quindi il segnale errato.
■ Conclusioni
GNSS è utilizzando sempre di più per
le più svariate applicazioni e nell’ambito di numerose infrastrutture critiche nel settore del traspor to, energia
e comunicazioni. È necessario essere
consapevoli delle dipendenze di queste infrastrutture critiche dal GNSS e
quali sono le possibili forme di attacco e le relative contromisure che possono essere adottate. L’evoluzione
dei sistemi GNSS (Galileo, GPS III) includendo i sistemi basati sull’aumentazione del segnale GPS come EGNOS
14
fornirà uno spettro più ampio di ser vizi e quindi creerà nuovi scenari da
analizzare in questa tematica.
■ Riferimenti
[1]. S. Thomas, The Last Navigator: A
Young Man, An Ancient Mariner, the
Secrets of
the Sea, McGraw-Hill, New York,
1997.
[2]. August 14, 2003 Blackout: NERC
(Nor th american Electric Reliability
Council) Actions to Prevent and Mitigate the Impacts of Future Cascading
Blackouts.
[3]. Application of the Galileo System
for a Better Synchronization of Electrical Power Systems Philippe Mack, Florin Capitanescu, Mevludin Glavic, Fabrice Legrand, Louis Wehenkel. NAVELEC project.
[4]. Application of the Galileo System
for a Better Synchronization of Electrical Power Systems, Mack, P.; Capitanescu, F.; Glavic, M.; Legrand, F.;
Wehenkel, L. Power Tech, 2007 IEEE
Lausanne.
[5]. P. Mann and E. Butterline. Global
positioning system use in telecommunications. ION GPS, 1998.
[6]. 3GPP ETSI Technical Specifica-
Safety&Security lug-ago 2009
tion TS 25.402.
[7]. Vulnerability assessment of the
transpor tation infrastructure relying
on the Global Positioning System. Final Repor t. August 29, 2001. Prepared by John A. Volpe National Transpor tation Systems Center.
[8]. “GPS Inter ference via a TV signal”. Proceedings of the 10th International Technical Meeting of the Satellite Division of the Institute of Navigation GPS-97. Kansas City. Sept.
1997.
[9]. “The impact of Jamming on GPS”.
Symposium on GPS inter ference and
mitigation techniques held on August
27 1998 at the Volpe National Transpor tation System Center by S. Gilmore.
[10]. “Techniques to counter GPS
spoofing”, internal memorandum, the
MITRE corporation, Februar y 1995.
[11]. A multi-antenna defense. Receiver autonomous GPS spoofing detection. Paul Y Montgomer y, Todd E.
Humphreys, Brent M. Ledvina. Inside
GNSS, March-April 2009.
[12]. GNSS Global Navigation Satellite Systems: GPS, GLONASS, Galileo,
and more by Bernhard Hofmann-Wellenhof, Herber t Lichtenegger, Elmar
Wasle.
■