Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak stworzyć własny OSINT-owy lab do śledzenia samolotów i innych obiektów latających [czwartki z OSINTem]

16 marca 2023, 14:45 | Teksty | komentarzy 6

W dotychczasowych artykułach dotyczących OSINT-u, które ukazały się na sekuraku, poruszane były tematy związane z pozyskiwaniem danych z otwartych źródeł internetowych. Są jednak jeszcze inne źródła, z których można skorzystać, aby zdobyć interesujące informacje. Mam tu na myśli ogólnodostępną i otwartą komunikację radiową, którą wykorzystują obiekty latające, pływające, a także satelity. To dzięki temu, że jest to komunikacja nieszyfrowana, możemy stworzyć własne OSINT-owe laboratorium dostarczające informacje o tym, co dzieje się wokół nas. Dzisiaj przyjrzymy się dokładniej komunikacji dotyczącej samolotów i innych statków powietrznych.

Źródła danych

Trasa przelotu jednego z samolotów rozpoznawczych, które ostatnio dość często można zaobserwować na polskim niebie, dostępna w portalu ADS-B Exchange

Jednym z najpopularniejszych serwisów udostępniających informacje o ruchu lotniczym, jest z pewnością Flightradar24. Jego historia rozpoczęła się w 2006 roku od inicjatywy dwóch miłośników lotnictwa, którzy stworzyli sieć odbiorników ADS-B w Europie. Dzisiaj serwis obejmuje niemal cały świat dzięki danym udostępnianym mu z wielu źródeł, należących zarówno do organów odpowiedzialnych za kontrolę lotów (np. amerykańska FAA, Federal Aviation Authority), jak i do zwykłych użytkowników, wyposażonych w odbiorniki radiowe, które można zbudować samemu lub otrzymać za darmo od Flightradar24 (szczególnie jeśli mieszka się w okolicy lotniska). Minusem tego serwisu jest ograniczona ilość informacji, które można uzyskać w wersji darmowej. Dla przykładu, aby dowiedzieć się, jaki kod transpondera (squawk) aktualnie nadaje dany obiekt lub poznać historię lotów starszą niż 7 dni, należy wykupić płatny plan. 

Podobnym serwisem jest FlightAware, który oferuje użytkownikom możliwość zakupu gotowych urządzeń do śledzenia ruchu lotniczego.

Widok nieba nad Polską w portalu Flightradar24

Widok nieba nad Polską w portalu ADS-B Exchange

Wśród innych serwisów udostępniających informacje o ruchu lotniczym należy na pewno wskazać ADS-B Exchange, które samo siebie określa jako największe źródło niefiltrowanych danych lotniczych na świecie. W przeciwieństwie do innych, płatnych serwisów, korzysta jedynie z danych otrzymanych z odbiorników sieci swoich użytkowników, ale także nie usuwa żadnych danych, nie zmienia i nie estymuje ich. Jeśli otrzymuje jakieś informacje, wyświetla je na mapie i nie ma możliwości ich usunięcia lub zablokowania. Korzystając z łatwo dostępnych filtrów mapowych, możemy uzyskać np. widok jedynie wojskowych jednostek. I to bez żadnych opłat. To sprawia, że ADS-B Exchange wielokrotnie pomogło śledczym z całego świata uzyskać informacje m.in. o przemytnikach i porywaczach. W związku z faktem, że dane przesyłane za pomocą technologii ADS-B są nieszyfrowane, wiele osób (w tym Elon Musk, a także saudyjska rodzina królewska czy rząd Chin) stara się walczyć z tego typu ogólnodostępnymi źródłami danych, które ujawniają trasy ich samolotów. 

Najpopularniejszym miejscem udostępniania aktualnych danych o flocie Elona Muska jest konto ElonJet, prowadzone przez Jacka Sweeneya, które zostało już zablokowane na Twitterze, jednak jest nadal dostępne na Facebooku, Instagramie czy Mastodonie. Sweeney korzysta właśnie z danych z ADS-B, aby automatycznie generować wpisy na portale społecznościowe z informacjami o lotach właściciela Twittera, który swego czasu oferował mu 5000 dolarów za usunięcie konta. Kontr-oferta opiewała na 50 000 dolarów i nie została przyjęta. Aktualnie Sweeney utrzymuje na Twitterze konto ElonJet but Delayed, które publikuje dane z 24-godzinnym opóźnieniem, co według zasad portalu nie stanowi już zagrożenia dla osoby, której te dane dotyczą.

Jeden z tweetów konta ElonJet but Delayed

Jednak, żeby nie było tak różowo, 25 stycznia 2023 roku portal został zakupiony przez firmę Jetnet, co wzburzyło zarówno osoby zasilające go danymi, jak i zwykłych użytkowników, ponieważ może to oznaczać koniec darmowego dostępu do niefiltrowanych danych i zmianę ADS-B Exchange w kolejne z wielu niepełnych i płatnych źródeł informacji.

Trochę teorii

Zanim jednak przejdziemy do budowy własnego środowiska badawczego, przybliżę kilka terminów, których znajomość jest niezbędna do analizy ruchu lotniczego. Nie będę wchodził w szczegóły, gdyż są one potrzebne jedynie do zrozumienia kontekstu prowadzonych działań. Najpierw musimy się cofnąć nieco w czasie do momentu, kiedy zaczęto korzystać z radarów do monitorowania nieba. 

Pierwsze radary były urządzeniami wysyłającymi impulsy o wysokiej częstotliwości i nasłuchujące impulsów odbitych. Dzięki temu były w stanie poinformować operatora o obecności w danym miejscu obiektów latających. Nie miały jednak możliwości zidentyfikowania statku, więc podczas drugiej wojny światowej w Anglii zaczęto używać radarów wtórnych, w celu odróżnienia, czy przypadkiem wraz z ich samolotami, wracającymi z europejskiego frontu, nie próbują się tam dostać samoloty Luftwaffe. Aby tego dokonać, opracowano system identyfikacji swój–obcy (Identification Friend or Foe, IFF). Samoloty aliantów zostały wyposażone w transpondery (ang. transmitter + responder), dzięki czemu mogły odpowiadać na sygnały wysyłane przez radar SSR (Secondary Surveillance Radar), dzięki czemu były identyfikowane jako „swój”. Nazwa IFF była stosowana przez Amerykanów, natomiast Brytyjczycy nadali mu nazwę Parrot (papuga), co zaowocowało późniejszym określeniem dla kodów transpondera, wysyłanych przez samoloty, jako squawk, czyli ptasi skrzek. Określenie to jest stosowane do dzisiaj i oznacza czterocyfrowe ciągi w zapisie ósemkowym, tzn. na każdej pozycji możemy mieć cyfry od 0 do 7, co daje w sumie 4096 kombinacji. Organizacja ICAO (International Civil Aviation Organization) odpowiedzialna m.in. za opracowywanie i wdrażanie międzynarodowych przepisów dotyczących bezpieczeństwa w cywilnym ruchu lotniczym, określiła także zestaw standardowych kodów transpondera, które mogą (choć nie zawsze muszą) oznaczać sytuacje awaryjne. Warto je znać, jeśli planujemy śledzić ruch lotniczy. Trzy najważniejsze łatwo jest zapamiętać poprzez zrymowanie angielskiej wymowy ich pierwszych cyfr:

  • 7500 – porwanie (seven-fiveman with knife),
  • 7600 – problemy z komunikacją / awaria radia (seven-sixradio fix),
  • 7700 – sytuacja poważnego zagrożenia (seven-sevengo to heaven).

Niekiedy kod 7700 jest ustawiany także dla niekrytycznych przypadków, kiedy załoga rozpracowuje już problem, ale chce także dać znać kontroli lotów, że coś jest nie tak.

Samolot, który ustawił kod transpondera 7700 widoczny na portalu ADS-B Exchange

Do przekazywania większej ilości informacji niż tylko kod transpondera używana jest dzisiaj m.in. technologia ADS-B, czyli Automatic Dependent Surveillance – Broadcast. Umożliwia ona informowanie innych statków powietrznych oraz kontroli lotów m.in. o swojej pozycji, unikalnym 24-bitowym numerze samolotu, znaku wywoławczym lotu, jego kierunku oraz prędkości jednostki. System wysyłający te informacje określa się jako ADS-B out, a system odbioru danych z innych statków powietrznych jako ADS-B in. Dane te są przesyłane w odstępach półsekundowych na częstotliwości 1090 MHz w formie otwartej i dostępne dla każdego, kto znajdzie się w wystarczającej odległości, aby je odebrać. Maksymalnie wynosi ona 450 kilometrów. 

Portal Flightradar24 szczyci się posiadaniem ponad 20 tysięcy odbiorników niemal na całym świecie. Nie wszystkie statki powietrzne są jednak wyposażone w nadajniki ADS-B; niektóre z nich posiadają starsze urządzenia nadające w Mode-S – wtedy ich położenie może być określone za pomocą multilateracji (MLAT), czyli obliczania punktu w przestrzeni z wykorzystaniem różnic czasowych pomiędzy sygnałami otrzymanymi przez minimum 4 odbiorniki. Problemem są także obszary nad oceanami, gdzie komunikacja jest realizowana przy wykorzystaniu ADS-C (Automatic Dependent Surveillance – Contact). W tym przypadku transmisję bezpośrednią ze statkiem powietrznym kontroluje stacja naziemna, a dane są przesyłane drogą satelitarną w dłuższych odstępach czasu.

Niebieski kolor obiektu oznacza komunikację poprzez satelitę, żółty poprzez stacje naziemne. W przypadku nadawania kodów o sytuacji wyjątkowej obiekt byłby zaznaczony na czerwono.

Własne laboratorium

Sprzęt

Aby samemu odebrać transmisję z ADS-B, wystarczy zwykły odbiornik SDR (Software Defined Radio) na USB. Wystarczy wykorzystać oprogramowanie na komputerze wyświetlające przesyłane informacje, które później będzie można zwizualizować na mapie. Osobom zainteresowanym podstawami wykorzystania radia SDR polecam live na ten temat na SekurakTV

Typowy dongle RTL-SDR, bazujący na zwykłym tunerze telewizyjnym, kosztuje aktualnie od kilkudziesięciu do kilkuset złotych, w zależności od zawartości zestawu. Można użyć także innego urządzenia odbiorczego, np. SDRplay, ale wiąże się to z większym wydatkiem i będzie wymagało użycia innego oprogramowania do dekodowania sygnałów ADS-B. Dla naszych potrzeb wystarczy RTL-SDR, który ma możliwość obsługi częstotliwości 1090 MHz. Osobiście do testów korzystałem właśnie z tego rozwiązania. Należy jednak zwrócić szczególną uwagę, czy przypadkiem nie kupujemy podrobionej wersji, która jest w stanie nie obsługiwać pożądanego zakresu częstotliwości. Szczegółową instrukcję, jak rozpoznać takie wersje tego urządzenia, można znaleźć na stronie rtl-sdr.com.

Odbiornik RTL-SDR

Do poprawnego działania RTL-SDR może być konieczne nadpisanie jego sterownika z wykorzystaniem programu Zadig. Procedura ta została opisana na stronie RTL-SDR Quick Guide, jednak osobom, które nie mają doświadczenia w tego typu działaniach, zalecam przeczytanie bardzo dokładnie tego poradnika i trzymanie się wszystkich jego zaleceń lub poproszenie o pomoc bardziej doświadczonej osoby. Należy być bardzo uważnym, gdyż niestety jednym kliknięciem w nieodpowiednim miejscu można nadpisać np. sterownik od myszki, touchpada lub innego urządzenia.

Ustawienia do nadpisania sterownika w programie Zadig

Do zestawu będzie potrzebna jeszcze antena. Dostępnych jest tu naprawdę dużo możliwości, w zależności od budżetu, pożądanego zasięgu oraz własnych zdolności manualnych (jeśli chcemy taką antenę stworzyć samemu). Przetestowałem kilka konstrukcji: od wersji typu KD („kawał drutu”) po anteny, które pożyczyłem od znajomych zajmujących się profesjonalnie przechwytywaniem różnego rodzaju sygnałów elektromagnetycznych. Zadowalające efekty, czyli zasięg kilkudziesięciu kilometrów, udało mi się osiągnąć na zwykłej antenie od tunera telewizyjnego, umieszczonej za oknem.

Podczas testów wystarczająca okazała się niewielka antena od tunera telewizyjnego

Dla osób, które nie chcą się zastanawiać, co powinny kupić i są gotowe w związku z tym trochę więcej, rozwiązaniem będzie skorzystanie z oferty sklepu w portalu FlightAware, oferującego gotowe zestawy.

Software

Aby móc odkodować przesyłane informacje, należy skorzystać z oprogramowania typu RTL1090 lub dump1090. Warto przeczytać instrukcję instalacji pierwszego z nich. Jeśli napotkacie problem z brakiem dostępności wskazanego pliku RelWithDebInfo.zip, należy go pobrać z Archiwum Internetu.

Okno programu rtl1090

Uruchomiony program dump1090 pod Windows z domyślnymi ustawieniami serwowania danych. Widoczne są dwa przechwycone samoloty wraz z przesyłanymi przez nie informacjami.

Dump1090 posiada opcję wyświetlania danych na mapie, jednak nie udało mi się jej uruchomić. Skorzystałem za to z Virtual Radar Server. Po jego instalacji konieczne było uruchomienie dump1090 tak, aby serwował odbierane dane, co można osiągnąć, uruchamiając plik z domyślną konfiguracją: dump1090.bat. Następnie należy włączyć oprogramowanie Virtual Radar Server i otworzyć w przeglądarce stronę pod adresem http://127.0.0.1/VirtualRadar, na której będziemy mogli zobaczyć na mapie uchwycone przez nas statki powietrzne.

Okno programu Virtual Radar Server

Widok mapy i dwóch przechwyconych samolotów w oknie przeglądarki

Podążając za omówionym powyżej schematem można przygotować środowisko do śledzenia ruchu lotniczego w zasięgu naszej anteny. Tego typu sprzęt można także wykorzystywać do zbierania innych informacji, dotyczących np. położenia jednostek pływających (z użyciem komunikacji AIS). W przypadku zainwestowania w nieco lepszy odbiornik i antenę można pokusić się nawet o pobieranie map z satelitów przelatujących akurat nad nami.

Krzysztof Wosiński

@SEINT_pl / @SEINT@infosec.exchange

Artykuł został napisany z punktu widzenia osoby zajmującej się pozyskiwaniem danych, stąd w tekście pojawiają się pewne uogólnienia lub uproszczenia w tematyce lotniczej i radiowej. Z pewnością można by te tematy opisać bardziej szczegółowo i precyzyjnie, jednak nie to było jego założeniem.

Co tydzień, w czwartki publikujemy nowy tekst autorstwa Krzyśka Wosińskiego. Jeśli nie chcesz przegapić żadnego odcinka, zapisz się poniżej (okazyjnie możemy Ci też podsyłać inne informacje od ekipy sekuraka):

Jako dodatkowy bonus, po zapisaniu się na naszą listę poniżej (oraz potwierdzeniu zapisu – zerknijcie ew. też w spam i w razie potrzeby kliknijcie: to nie jest spam ;-) – otrzymacie też od razu (w kolejnym e-mailu) dobry bonus linków do prezentacji OSINT’owych z Mega Sekurak Hacking Party:

  • OSINT – historia prawdziwa #1 autorstwa Tomka Turby. Czyli szukanie uprowadzonej nastolatki.
  • OOPSEC – wpadki i wypadki przy zabezpieczaniu danych. Czyli jak (nie) cenzurować zdjęć i dokumentów autorstwa Krzyśka Wosińskiego.
  • OSINT – historia prawdziwa #2 autorstwa Tomka Turby. Czyli szukanie uprowadzonego dziecka.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. nusch

    Przekombinowany opis – wystarczy podpiąc rtlsdr i nowego kismeta odpalić ma moduł do ADS-B.

    Odpowiedz
  2. Marcin

    Ale jak to, nic nie wspomniane o odbiorze ACARS?

    Odpowiedz
  3. osintowiec

    Wow, niezłe to! Nade mną sporo ost. lata malutkich samolocików, helikoptery. Zastanawiałem się jak ich sprawdzić. Standard, to PAŻP itp., rejestr dronów – też jeden dłuższą chwilę 'stacjonował’ w powietrzu raz. Czasem nisko latają wojskowe helikoptery i nad nimi się zastanawiałem czy też transpondery mają, bo wiadomo 'lot wojskowy’, to nie że zgłaszanie itd…
    Ciekawy wątek 'elektromagnetyczny’. Czytałem kiedyś o broniach opartych o te fale. Czy Pan Szanowny Autor coś władny w temacie przechwytywania takich wiązek – sygnałów? Może jakiś artykuł kiedyś…

    Odpowiedz
  4. D

    Nie ma także nic o 433/868 i 433.92 w szczególności. Osint samolotów jest po prostu słaby imho, więcej można się dowiedzieć o obiekcie obserwacji z nasłuchu 433.92 imho i to bez względu czy to osoba czy budynek/auto. Na paru standardowych częstotliwościach lata tyle otwartych lub bardzo słabo zabezpieczonych rzeczy. Ludzie maja dzwonki/światła/stacje pogodowe/bramy/garaże/auta, czasami nawet okna/drzwi na 433. Wszystko to można odebrać tym samym sprzętem, który jest użyty w artykule. Przy sprzęcie za 50$ jako sdr można już nie tylko do 1GHz ale tez Bluetooth, który jest skarbnicą do osint imho, telefony/słuchawki/tagi, które obiekt zwykle ma przy sobie. Artykuł nie porusza nawet 1/10 tego co można zebrać do osint tym sprzętem. Ocena 4/10 choć ads-b dość rzetelnie.

    Odpowiedz
  5. osintowiec

    Dodam, że pospolicie można (zwłaszcza w tych czasach szpiegostwa, chemtrailsów etc.) rejestr prowadzić jaki samolot/dron latał nad nami czy w okolicy w danym dniu, godzinie, kierunki lotu, czy wojskowy, czy LPR, czy inny itp. W razie czego gdyby trzeba było zrobić regres czasowy albo porównać z info w/w.

    Odpowiedz
  6. osintowiec

    Zastanawiałem się nad kwestią lotów balonami, lotniami, paralotniami itp. Ciekawe w tym kierunku gdyby śledztwo prowadzić, jak, gdzie szukać itd. Może kolejny artykuł?…

    Odpowiedz

Odpowiedz