«В одиночку в космос не ходят»: как RUVDS запустил сервер на орбиту

Как в RUVDS родилась идея «воздушных» серверов? 

Все началось в 2018 г. с небольшого проекта «Сервер в облаках». Это была фановая и по большей части маркетинговая активность: мы собрали небольшой сервер на Raspberry Pi 3 и поместили на воздушный шар. Комьюнити тепло встретило идею, и мы начали думать, как подняться еще выше. 

Нашим следующим шагом стал первый в России запуск сервера на стратостате (по аналогии с Google Loon). И снова получилось! Ответ на вопрос «Что делать дальше?» был очевиден — пора было выходить в открытый космос.

В 2022 г. вы вместе с «Малыми Космическими Системами» запустили проект по созданию сервера в формате пико-спутника. Расскажите подробнее о вашем спутнике и технологии в целом.

Пико-спутник RUVDS — всего лишь прототип, первый подход к снаряду. Мы собрали его из общедоступных компонентов: под капотом нет сверхсложного оборудования, разве что несколько интересных инженерных решений (в первую очередь в части энергообеспечения). При этом функционально он не сильно отличается от своих старших товарищей. По сути, это такой же компьютер, только в мини-формате. Наш спутник тоже может передавать, принимать и записывать сигналы, обрабатывать данные и осуществлять фотосъемку. Само собой, он проигрывает в мощности крупнокалиберным аналогам, но и стоит ровно в 10 раз дешевле: 10 тыс. вместо 100 тыс. долл. за распространенные модели CubeSat. И это не себестоимость, а полный цикла запуска! 

Технология в целом еще сыровата, но железо и источники энергии с каждым годом становятся все компактнее и мощнее. Если использовать более производительную начинку и энергоносители, разница между малыми космическими аппаратами и крупными спутниками исчезнет. При этом меньший форм-фактор заметно снижает стоимость доставки на орбиту (она рассчитывается по весу), поэтому технология точно будет набирать обороты. Это будущее, которое мы приближаем уже сегодня.

С какими организационными и техническими сложностями вы столкнулись во время реализации проекта?

Я бы не назвал это сложностями, скорее, речь о строго регламентированном процессе, которого нужно придерживаться. При использовании воздушного пространства нельзя мешать авиационному движению, плюс существуют вопросы национальной безопасности. Необходимо получить согласования от Роскосмоса и других госучреждений. К счастью, мы быстро нашли людей, у которых был нужный нам опыт, — они заинтересовались проектом и стали частью команды.

Кроме того, перед запуском спутник должен пройти ряд технических испытаний. Он доставляется на орбиту в пусковом контейнере внутри спутника побольше, который, в свою очередь, упаковывается вместе с другой полезной нагрузкой в ракету-носитель. Яйцо в утке, утка в зайце — это вам не отправка посылки почтой :) Соответственно, важно убедиться, что пико-спутник не нанесет ущерба другим звеньям цепи, сохранит работоспособность после перегрузок и т. д. Все это превращает космические проекты в настоящий вызов для инженеров. 

К слову, испытания мы прошли успешно, но без форс-мажоров все равно не обошлось. После запуска произошла авария — основная память нашего спутника оказалась недоступна. Причины могут быть разными — от механического удара во время взлета до статического напряжения. Подобных рисков нельзя избежать, только учитывать и дублировать важные компоненты. Космос — это враждебная среда, в которой нельзя «быстренько что-то починить».

От Джеймса Бонда к open source

Для решения каких бизнес-задач вы используете пико-спутник? 

Это некоммерческий проект, поэтому мы фокусируемся на научно-исследовательской деятельности. Говорить о бизнесе пока рано — это вопрос следующих запусков. Как минимум, сначала нужно доработать прототип пико-спутника: исправить проблему с памятью, улучшить питание, усовершенствовать железо. Для первой версии более полугода на орбите — уже отличный результат, но, если переводить проект в плоскость бизнеса, оборудование должно работать как часы.

Недавно вы объявили, что проведете исследование кибербезопасности других космических аппаратов с помощью спутников-серверов RUVDS. Расскажите об этом.

Начну с экскурса в историю :) Раньше спутники создавали исключительно военные предприятия и НИИ, причем чуть ли не в единичном экземпляре, поэтому взломать их было действительно сложно. Чтобы получить доступ к конкретному устройству и понять, как оно устроено, нужно было провести операцию в духе Джеймса Бонда. Сейчас спутник можно купить. Например, взять тот же CubeSat, проанализировать слабые места и взломать пару аппаратов на орбите. Либо собрать недорогой пико-спутник и отточить сценарии атаки на нем. Это реально, потому что все спутники управляются по одному принципу. 

Раньше космос был прерогативой государства, а теперь туда идет бизнес — вспомните того же Джеффа Безоса или Илона Маска. С одной стороны, это двигает отрасль вперед, с другой, коммерческие компании несут в отрасль общедоступные технологии и универсальные платформенные решения. Приведу пример: для запуска «Бурана» в СССР разработали специальный высокоуровневый язык программирования. Взломать настолько уникальное решение практически невозможно (разве что у вас есть шпион в команде центра управления полетами, ЦУП). Но безумные проприетарные решения остались в прошлом — им на замену приходят доступные для исследований и доработок open-source-продукты. Из-за этого спутники становятся более уязвимыми, а вопросы их безопасности — более актуальными.

Мы со своей стороны хотим помочь отрасли исследовать вопрос защищенности космических аппаратов. Опять же, у нас некоммерческий проект, поэтому мы можем открыто говорить об уязвимостях в конкретных технологиях. Ни одна коммерческая компания, к примеру, не проведет CTF на своем спутнике: если устройство взломают, ее акции сразу упадут. Как результат — подобные темы задвигаются под ковер, а это ни к чему хорошему не приведет. У нас ограничений нет, поэтому мы помогаем коллегам тестировать безопасность ПО для различных ЦУП, специализированных протоколов и т. д. — это одна из наших главных задач на ближайшее время.

Насколько остро сегодня стоит вопрос кибербезопасности спутников? Каким образом хакеры их атакуют? 

Как правило, хакеры целятся не в сами спутники, а в ЦУП. В отрасли достаточно подобных кейсов, причем первые встречаются чуть ли не в 1970-х. У всех спутников есть уникальные защищенные протоколы для общения с ЦУП. Они зашиты в ПО центров управления, поэтому если хакер сможет туда добраться, он получит моментальный доступ к аппаратам на орбите. Здесь важно понимать, что ЦУП — это не сверхсложные нанотехнологии или аналоговая электроника, а обычные компьютеры на Windows (вполне возможно, еще и устаревших версий). Соответственно, у злоумышленников есть масса вариантов проникновения в систему — от эксплуатации непропатченных уязвимостей до социальной инженерии. Мы предоставили участникам осеннего Standoff возможность атаковать ЦУП в компании CosmoLink Labs Государства F, и «красным» не удалось его взломать. Но я уверен, через несколько попыток они справятся: таким образом мы получим опыт, который можно (и нужно) будет использовать для защиты реальных ЦУП.

Второй очевидный вектор — атаки на протоколы связи. Чтобы получить данные с нашего пико-спутника, достаточно знать нужную частоту, а вот для передачи команды на устройство потребуется взломать наш защищенный протокол. Это сложно, но возможно. 

«Дыры в защите не делают продукт плохим»

Как часто злоумышленники атакуют RUVDS и других представителей вашей отрасли?

Ситуация в отрасли бьется с общей картиной рынка: мы видим снижение доли сложных и критически опасных инцидентов, но общее число атак растет. Это логично: после первых громких кейсов бизнес и госорганы стали уделять больше внимания кибербезопасности. Рынок становится грамотнее и предпринимает необходимые меры защиты, поэтому злоумышленники стараются брать количеством. При этом обе стороны используют самые современные технологии — это вечная гонка, поэтому расслабляться рано.

Вам близка концепция недопустимых событий? Какие события можно назвать недопустимыми для RUVDS?

Да, эта терминология мне близка. Для нас как для хостинг-провайдера ключевое недопустимое событие — это простой клиента. Если он не сможет получить доступ к своим ресурсам, это критично. 

Вы планируете участвовать в Standoff на Positive Hack Days 2024? 

Да, это интересный формат и ценный опыт. В первую очередь, конечно, для вендоров, но и для экспертов тоже (например, как возможность показать свои скилы и продвинуться по карьерной лестнице). Мне кажется, это чистый win-win.

Интересный момент: многие компании не хотят, чтобы рынок знал о несовершенстве их киберзащиты. Я считаю, бояться нужно не этого. Дыры в защите не делают продукт плохим, главное — своевременно их закрывать. Лучше быть взломанным на Standoff, чем в реальности.

Поделитесь планами на будущее. 

Мы планируем доработать прототип пико-спутника и, возможно, передадим наработки дочерней компании, которая будет заниматься исключительно космосом. Наш аппарат, как и любые другие инновации, стартовал с довольно ограниченным функционалом. Это базовая платформа, своего рода первая ступень, на основе которой технология сможет развиваться. В первом iPhone тоже не было привычного нам многообразия возможностей, но без него не появился бы iPhone 15. Пока наш пико-спутник решает только базовые задачи, но его функциональность можно расширять в разных направлениях. Это может быть хранение информации в недосягаемом для каких-либо сторонних структур месте, промежуточная обработка данных, зондирование других планет и т. д. Путь развития определит сообщество, главное — показать людям, что это в принципе возможно!