小郝：一个追卫星的人

“夸父追日”的故事有两个版本，这两个版本都挺有意思，讲了一个追太阳的人为了理想不停奔跑的故事。

第一个版本是，夸父族其中一个首领想要把太阳摘下，放到人们的心里面，于是就开始逐日。他口渴的时候喝干了黄河、渭水，准备往北边的大湖去喝水，奔于大泽路途中被渴死。此后，他的手杖化作桃林，成为桃花园，而他的身躯化作了夸父山。

还有一个版本是，夸父身材魁梧、力大无穷。为了弄清太阳在一年四季对农作物的影响，让人们合理利用阳光以及熟悉大自然的规律，夸父拿一根桃木棍儿从东至西测量日影定四季，再从黄河和渭河的涨水痕迹上标出最高洪水的水位，这样可以对农作物提供耕种参考。最终，农学家夸父从东至西到达了灵宝市西部，寿终于此。

在现实生活中，我遇到了一个这样的人，不同的是，他“追”的是卫星。

、

【郝经利，360 安全研究员】

本文作者：雷锋网网络安全频道专栏作者，李勤。

一

几年前，有一个青岛轮胎厂的操作台工人默默地干着两份活儿，上班的时候，他是小郝，任务是要确保轮胎的正常生产，这种在 1770 年就被人发现的神奇材料——橡胶，从遥远的南美洲随着工业发展迁徙，在亚洲生长壮大，最后在轰隆的工业世界里，通过很多双像小郝这样工人的手，与汽车一同驶向科技文明。

每天傍晚和凌晨，小郝要等待气象卫星 NOAA-18 和NOAA-19以7km/s的速度从高空飞过，他要抓紧这两颗卫星从地平线升起到降落的十几分钟，架起天线，接收它们的信号。

说到这里，你一定以为小郝在气象局兼职。其实，他只是好奇——在卫星的眼里，这个世界到底是什么样？他想知道，台风的风眼在哪里，今天的云如何分布，海面温度是多少。

说起来，这像一个科学家的故事，但是小郝拿到的“剧本”不是这样的。

调侃自己像“收破烂”一般搞研究的小郝从各式甩卖的废弃零件开始收集，动手做天线、低噪声放大器、接收的SDR、追踪系统、射频等硬件，利用解调解码、数据处理的软件，捕捉微弱的卫星信号，下载数据等，成功接收并解码出了国内业余界第一幅 HRPT 高清云图。

气象业、航空航海、渔业、畜牧业等很多行业都对云图十分依赖。就是这样一幅对很多行业与研究项目影响很大的云图以及卫星追踪系统 OpenATS，被小郝免费开源了。

他甚至在三年前就把如何搭建整套系统的信息发在了某知名安全社区上，迄今为止，复现的人寥寥无几。

“这个东西意义还是蛮大的，一个商业成品的追踪系统要几十万，我当时就是因为买不起商业的，所以才自己做。”小郝想，有些人根本买不起高清云图来做研究，这样会不会有更多人进来呢？

小郝等人把飞在天空中的卫星称为“鸟”，而研究卫星通信的人就成了“鸟人”（birdman）。

鸟人太少了，小郝很孤独。

二

没办法，追卫星实在太难了。

在卫星露面的十几分钟里，信号非常弱，干扰时时存在。

小郝观测卫星的位置附近，就有一个手机基站的 DCS 业务，对卫星通信的频段干扰非常厉害。除了排除干扰，他还需要一个追踪系统，天线必须精准地指向那颗卫星，才能获得最好的信号。这意味着系统要精准授时，如果系统时间不准确，差一秒，卫星可能已经飞得很远。

小郝花了两个月造好追踪系统。难点在于，系统要不断追踪这颗卫星，控制系统都通过计算机软件计算出卫星的轨道，推算出它当前的角度，再根据经纬度，计算出这颗卫星对于观察者的方位角、仰角，而观察者要把角度信息传送给单片机，再计算出控制这个电机转多少角度，才能刚好让天线指向这颗卫星。

搞好追踪系统、时间系统后，小郝要对轨道进行预算和计算，下载最新的 TLE 数据。

小郝还需要用一个高增益天线收集信号，天线虽然能获得微弱的信号，但需要非常强的低噪声放大器，把微弱的信号放大到被 SDR 识别，因此，低噪声放大器必须有高增益高，很低的噪声系数，信号才能被系统识别。低噪声放大器非常贵，一般与卫星同频段的常用的低噪声放大器没有要求如此之高的增益。

怎么办？好在废弃的手机基站里有接收的 DCS 系统，于是小郝打起了淘旧零件的主意。

“我只能时不时去翻谁在卖这个，找到了还不能让对方看出来我很想要，万一狮子大开口怎么办？我都跟他们说，就这么一个零件，你不卖给我，也没有别人要了。”小郝斗智斗勇。

三

如果周围有人落水，你是唯一一个会游泳的人，你救不救？

小郝肯定会救。

但是，如果那些等待求救的人如浮漂一般流落在大海、深林里，而你可能是极少数通过卫星通讯知道他们求救信息的人，你要怎么办？

小郝面临的不仅是这个困局。

自从他建好了接收卫星信息的地球站以后，每天准时接受“鸟儿”的问好。在天线不断接收天上的卫星时，他突然发现，为什么在卫星的下行链路里会出现模拟信号？刚开始，他以为附近的对讲机串频了，后来才发现，这个信号在频谱中是不断移动的。

这意味着，这些“信号”可能来自一架飞机或者另一个卫星。

小郝陷入疑惑，这个信号跟气象卫星的频率完全不同，差好几百兆赫，这个信号来自哪里？自己到底发现了什么？

查阅了很多资料后，小郝发现，这是 COSPAS-SARSAT全球卫星搜救系统。

这个全球卫星搜救系统是一个全球共同建立的人道主义救援系统，起初是由苏联、美国、加拿大、法国4个国家发起，目前已经有超过 42 个成员组织。

全球卫星搜救系统分为了三种不同类别，一种为 ELT，用在飞机上使用。一种为 PLB 用于个人或者团队，另一种为 EPIRB，多用在海事船只上。

在船只、飞机上，这些求救信标是必备的安全设备。这个信标可以人为激活或者自动激活，当船只或者飞机在经过强烈的震动和信标接触到水时，信标会自动激活，发射自己独有的信标消息，信标中含有 GPS 定位模块，会在消息中包含信标的 GPS 坐标，来告知救援中心自己的遇险位置。

当信标发射后，会被经过上空的搜救卫星接收并捕获，将消息发送给附近的陆地上的 LUT （Local User Terminal）地面接收站。地面站接收到信号后，将解码信号，将信标的信息发送个MCC（Mission Control Centre）中心，MCC 控制中心再根据信标的信息安排救援队伍前往遇险地点实施救援。

也就是说，这个信标可能是很多人的最后一根救命稻草。

小郝发现，COSPAS-SARSAT 卫星搜索与救援系统有一个载荷，会对信号产生中继的效果，所以那些人的求救信号会被卫星接收并转发到地球站。他深入研究这个系统的通信协议后，发现了漏洞。

系统载荷接收来自终端的 406 MHz的求救信标，经过卫星的上变频，将信号变频到 1544.5 Mhz左右进行放大和广播给地面站，而卫星载荷含有两个通道，一个为 SARP 处理信道，一个为 SARR 转发信道。

SARP 处理信道会将信标信号进行解调和解码工作，存储于卫星载荷内，以缓存的形式重复广播，以防没有地面站收到的情况发生。但是这个通道的处理能力受到卫星电能的限制，仅能同时处理一定数量的信标消息，所以在求救信标的终端内，设置为发射时间间隔随机化，防止遇到同时发射信标导致卫星接收失败的情况。

危险的是，系统并没有使用任何有效的加密措施，任何人都可以对信标信号接收解码，这意味着，任何人可以使用 SDR 等设备伪造需要救援的虚假信标，让救援中心救援。

信标虽然需要注册，但由于可以接收来自卫星下行信号的信标，攻击者可以冒充这个身份，导致 MCC 中心无法确定信标的真伪，浪费救援资源。

同时，由于 SARP 处理能力有限，如果有人批量伪造信标，会让 SARP 载荷满负载运行，无法处理来自真实需要求救的信标，就像引发了一场 DDoS 攻击。

另外，由于 SARR 的透明转发器的工作属性，这个载荷可能被盗用。如果一个黑客以自己的调制方式和加密方式发送自己的数据，便可以借助这个转发器进行跨区域远距离通信，盗用卫星链路资源。

这意味着，如果有人想借这种通道秘密通信，将很难被监测到，并且无法解密，细思恐极。

在研究了这个系统的一些技术参数和协议等信息后，郝经利编写了一个测试用的软件（HackSAR）和GNURadio项目（为防止有人恶意破坏，该项目并非真实项目，且不开源），借助 SDR 软件无线电硬件 PlutoSDR ，对这个系统在实验室里进行了测试，包括伪造信标、DDOS攻击、借助卫星通信等测试，发现这种攻击确实行得通。

发现这些信息后，小郝第一时间联系了这个人道主义救援组织，遗憾的是，发过去的信件石沉大海。

他说，如果这个组织有人看到自己的信件，希望能联系自己，他愿意尽自己最大的努力帮助修复漏洞。

小郝还发现， COSPAS-SARSAT 卫星搜索与救援系统被很多干扰信号严重干扰，无论从是澳大利亚、中国还是英国的卫星的下行数据都显示，干扰源非常多。因为很多对讲机的通信频率覆盖范围在400~470MHz，包含406MHz，而有的人在使用 406MHz 时，会严重干扰这个卫星的载荷。

发射这些信标的人都是需要救援的，已经没有办法跟大陆通信，或者用别的方式求救，他们生命都可能处在危险中。

虽然这些使用者可能是无意的，但被救援者的求救信号很可能因此不被听见。

去年，深圳市查处了这样一个案子，深圳市无线电管理局接到了国际电联无线电通信局来函申诉，申诉的内容是全球卫星搜救系统频率受到干扰，在派出技术人员监测后发现，干扰源是一个建筑工地的吊塔对讲机。

小郝希望，大家不要滥用 406 MHz，让出这条“求生路”。

四

小郝见过一段数字。

这是一个信标发过来的数字，地面站收到之后，就会解码，知道这个信标来自哪个国家，这个信标当时曾注册在哪条船只的名下，船主的联系方式是多少，公司的联系方式又是多少。

小郝还看到过更多的数字。他面临的困局是，他看得到，但救不了。

没有人可以体会这种情绪。

后来，小郝辞去了轮胎制造厂的工作，从青岛搬到了北京。在酒仙桥路6号院电子城国际电子总部 A 座顶层，小郝成为了 360 独角兽团队的一名安全研究员，他在屋顶继续接收信号做卫星安全研究。

【小郝和他的“破烂”装备，据说价值几百万】

虽然换了一个地点，小郝还是那个“追卫星”的人，不同的是，他的卫星安全研究将被更多人知道，他的研究成果可能用于帮助更多人。

欢迎关注雷锋网旗下公众号“宅客频道”（指路ID：letshome），重要的事情再强调一遍，雷锋网宅客频道。