亚马逊发布AWS卫星接收地面站，将带来什么样的安全思考?

0x01 亚马逊宣布推出AWS Ground Station服务

北京时间2018年11月28日,亚马逊AWS在AWS re:Invent大会上宣布AWS Ground Station（卫星接收地面站）。这项服务是一项新的云服务，让客户可以使用由全球12个地面站天线组成的全托管网络，轻松、经济高效地从卫星下载数据到AWS全球基础设施区域。

0x02 基本介绍

Amazon Elastic Compute Cloud（Amazon EC2）一向是以经济高效的“按需付费”方式提供计算能力，AWS Ground Station的服务也是如此。AWS Ground Station可以根据用户情况，按需付费使用 ，而不是建立自己的地面站或签订长期合同。使用AWS Ground Station的客户可以同时从多颗卫星下载数据，并在天气事件等计划外中断影响网络部分时继续下载数据。如果需要定期访问地面站来捕获地球的观测数据或在世界范围内的分发内容，可以提前预留容量并支付很少的费用。AWS Ground Station是一项完全托管的服务，不需要用户再构建或维护天线，只需专注于与卫星相关的工作或研究即可。

亚马逊宣布，从今天开始使用两个地面站，并将于2019年中期开始运行12个地面站。每个地面站都与特定的AWS区域相关联; 来自卫星的原始模拟数据由亚马逊的调制解调器处理成数据流（正式称为VITA 49基带或VITA 49 RF over IP数据流）并路由到负责进行信号处理的EC2实例，将信号变成字节流。

当数据以数字形式出现，就有了许多流媒体、处理、分析和存储流程，他们之间的工作处理就需要紧密的配合。一旦客户在地面站接收到卫星数据，就可以立即在Amazon Elastic Compute Cloud（Amazon EC2）实例中处理它，将其存储在Amazon Simple Storage Service（S3）中，应用AWS分析和机器学习服务获得洞察力，并使用亚马逊的网络移动数据到其它区域。以下是少量的技术处理细节:

• 数据流 ： Amazon Kinesis数据流用于捕获，处理和存储数据流的。
  
  
• 处理 ： Amazon Rekognition 用于图像分析; Amazon SageMaker用于构建，培训和部署ML模型。
  
  
• 分析/报告 ： Amazon Redshift用于结构化数据仓库形式存储已处理数据; Amazon Athena和Amazon QuickSight用于查询数据。
  
  
• 存储 ： Amazon Simple Storage Service（S3）用于对象形式存储数据，使用Amazon Glacier进行长期数据存储。
  

0x03 AWS地面站服务操作演示


使用AWS地面站时，需要将卫星NORAD ID、FCC许可证信息和AWS帐号进行绑定。

打开地面站控制台，点击预约联系人，并开始:




保留一个联系时间（即将到来的时间。让卫星处于最佳位置，以便传输到选择的地面站）。从菜单中选择了一个地面站：


可以根据状态（可用，预定或已完成）和时间范围进行过滤：



选择符合要求的联系人，选择联系人，然后点击预订联系人：



确认联系方式，然后点击预订：



对注册服务的联系人进行服务预订：




在联系人被保留之后，确保EC2实例将在与地面站相关联的AWS区域中至少提前15分钟运行。负责信号处理的实例连接到弹性网络接口（ENI），使用DataDefender管理数据传输，并将数据路由到软件调制解调器（如qRadio）以将其转换为数字形式（亚马逊将为客户提供CloudFormation模板将创建ENI并执行所有其他设置工作）

0x04 注意事项

以下是您应该了解的有关 AWS地面站的一些事项：

• 访问 - 由于此服务的性质特殊，访问不是自助服务。需要与亚马逊的团队沟通才能注册卫星接收服务。
  
  
• 地面站 - 正在推出2个地面站，到2019年将共运行12个。亚马逊将根据使用情况和需求，建设额外的站点和天线。
  
  
• 定价 - 按上/下行链路时间进行计费。
  

0x05 AWS安全现状

亚马逊网络服务（AWS）绝对是最知名的云托管平台，被信息行业广泛使用。亚马逊的卫星地面站服务的推出，虽然技术细节很少，但是都让satnogs发出了感慨、思考(satnogs是由Libre Space Foundation维护，旨在开发和推广开源空间技术以及对空间相关数据开放访问的非盈利组织)。网络上针对AWS攻击的方法也有很多，对此，作为安全人员应该有一定的思考。

近年来，AWS各种安全问题也不在少数，不管是Amazon Elastic Compute Cloud(EC2)还是Amazon Simple Storage Service（S3）都出现过问题。

• AWS S3错误暴露了GoDaddy的商业机密
  
• S3数据库泄露暴露了成千上万的雇佣军简历
  
• Alteryx的S3漏洞导致 1.23亿美国家庭沦陷于欺诈和垃圾邮件
  
• Amazon Elastic Compute Cloud (Amazon EC2) Linux 实例受到 SSH 暴力攻击
  
• Amazon Elastic Compute Cloud（EC2）来挖矿
  

0x06 安全思考

笔者之前看360独角兽安全团队的《无线电安全攻防大揭秘》了解到一些卫星通信安全方面的知识，一般针对导航卫星的攻击都是从GPS入手，通过GPS信号欺骗达到扰乱定位系统、定时系统，改变通信基站、金融交易系统的授时信息。书中提到的比较可怕的案例：1996年，中国两枚导弹发射失败，疑似GPS被某国军队攻击。当然针对卫星攻击手段不是只有一个，还有针对Globalstar的数据破解等。

现在亚马逊推出的AWS Ground Station服务，针对卫星的攻击又多了些。让利用AWS进行恶意的活动变得越来越复杂，针对性越来越强，卫星的攻击也越来越趋向于与网络入侵攻击。不管是从提供卫星地面接收服务算力的EC2进行攻击，还是从数据存储的S3进行攻击，都可能会影响到卫星的安全。当然也有可能出现更多的针对卫星的相关安全性的攻击。

说不定在不久的将来，就可以听见群里的小伙伴说，”我干了几颗卫星“。

综上是我的拙见。您觉得，亚马逊发布AWS卫星接收地面站，将带来什么样的安全思考呢?

0x07 参考链接

• https://aws.amazon.com/cn/blogs/aws/aws-ground-station-ingest-and-process-data-from-orbiting-satellites/
  
• https://www.leiphone.com/news/201811/v1yxHO1CTRjPuadK.html
  
• https://hackernoon.com/aws-launches-ground-station-and-lockheed-martin-launches-verge-43ebed88b31b
  
• 360独角兽安全团队的《无线电安全攻防大揭秘》（https://www.amazon.cn/dp/B01EUUAK7S）
  

PS：亚马逊推出的AWS Ground Station服务的新闻真的很重磅，目前关于其的安全报道还没找到，只能结合新闻动手写了点拙见，希望分享给师傅们。望师傅们海涵。小弟的知识水平有限，若有错误的或者不准确的地方，望师傅们指正，谢谢！