během srpna 2019 DEF CON 28 hacker convention v Las Vegas, Nev. americké letectvo přineslo datový systém stíhaček F-15 a vyhlásilo výzvu každému, kdo by se chtěl pokusit proniknout do jeho provozu a získat kontrolu nad ním.
týmy hackerů a bezpečnostních výzkumníků jednotku rozebraly a oznámily bezpečnostní nedostatky v systému, když je odhalily. Vojenští úředníci byli s výsledky experimentu velmi spokojeni a rozhodli se vrátit v roce 2020—se satelitem.
DEF CON je jednou z největších hackerských konvencí a od června 1993 je každoroční událostí v Las Vegas. Přitahuje hackery a odborníky na počítačovou bezpečnost spolu se zaměstnanci federální vlády, bezpečnostní vědci, novináři, a studenti. V roce 2019 Will Roper, asistent tajemníka letectva pro akvizici, technologii a logistiku, vysvětlil Brianovi Barrettovi z časopisu Wired, proč jeho pobočka ozbrojených sil Tahala na konferenci hardware stíhacích letadel.
“ musíme překonat náš strach z přijetí externích odborníků, kteří nám pomohou být v bezpečí. Stále provádíme postupy kybernetické bezpečnosti z 90. let…. Předpokládáme, že pokud budeme stavět věci za zavřenými dveřmi a nikdo se jich nedotkne, budou v bezpečí. To může být do jisté míry pravda v analogovém světě. Ale ve stále více digitálním světě má všechno software.“K tomu Barrett přidal poznámku pod čarou připomínající čtenářům, že veškerý software nevyhnutelně obsahuje chyby, které lze zneužít.
snímek měsíce
v letošním roce DEF CON 29 opět učinil stejnou nabídku účastníkům, skutečným i virtuálním, s další soutěží s názvem Hack-A-Sat 2 (HAS2). Byl nastaven stejným způsobem jako loni s výzvou k podání, předběžné kvalifikační kolo před DEF CON v srpnu, a pak závěrečná soutěž mezi kvalifikátory. Každý, kdo si myslel, že by mohl být schopen hacknout satelit, nebo jeho pozemní stanice, byl vyzván, aby se přihlásil.
a nebyla to jen hackerská prestiž, která by byla na lince; peněžní odměny byly velmi atraktivní. 10 nejlepších kvalifikačních týmů získalo každý 10 000 dolarů, třetí místo získalo 20 000 dolarů, druhé 30 000 dolarů a nejvyšší cena v závěrečné soutěži činila 50 000 dolarů.
předběžná fáze v červnu 2021 měla řadu výzev, jako jsou problémy, které je třeba vyřešit kódováním, hledáním věcí, hádankami a potřebou ukázat určitou kontrolu nad systémy. Na to by později v roce následovala soutěž o zachycení vlajky (CTF) ve stylu DEF CON. Závěrečná událost byla hostována na fyzickém hardwaru, který byl typický pro architektury a návrhy používané v reálných satelitech.
Roper popsal rozsah průniku systému jedním z problémů, které je třeba vyřešit: „to, co plánujeme, je vzít satelit s kamerou, nechat ji směřovat na Zemi a pak nechat týmy, aby se pokusily převzít kontrolu nad kardanovými kamerami a otočit se směrem k Měsíci. Takže doslovný snímek měsíce.“Soutěžící museli úspěšně nechat satelit vyfotit měsíc a poté tento obrázek načíst do svého počítače.
vše, co žadatel potřeboval, byl počítač pro připojení prostřednictvím virtuální privátní sítě k herní infrastruktuře, nejlépe s širokopásmovým připojením. Museli být také ochotni být prověřeni. Výzva“ moon shot “ přistála více než 2 000 týmům složeným z 6 000 jednotlivců, kteří se dokázali spojit, učit se a vyzkoušet své dovednosti. Aerotech News hlásil, “ mezi těmito týmy byli nejlepší hackeři na světě.“, kdo, během posledního kola, bojoval za nikdy předtím na oběžné dráze satelitní hackerskou výzvu.“
z pohledu letectva, generálporučík John F. Thompson, tehdejší velitel USA Centrum vesmírných a raketových systémů Space Force potvrdilo projekt rozsudkem: „první Hack-a-Sat byl obrovským úspěchem při sdružování rozmanité skupiny vládních, komerčních a soukromých organizací a jednotlivců za účelem testování a vývoje řešení kybernetické bezpečnosti pro naše jedinečné vesmírné sítě.“
pravidla
4. května 2021 byla pro letošní výzvu vydána žádost výzkumné laboratoře letectva. Všechny týmy, které mají zájem o dvoustupňovou soutěž s peněžními odměnami a významnou mezipamětí hackerů, mohly vyplnit 17stránkovou aplikaci, která obsahovala formulář pro vydání, který vyplní rodiče nebo opatrovníci pro všechny nezletilé ve vašem týmu, čtyři stránky právních otázek podrobně řešících závazky a automatizovaný formulář clearing house pro směrování šeků vítězů.
pravidla vzdušných sil pro soutěž nabízejí zajímavé informace o tom, jak těžit ze spolupráce, aniž by riskovali kooptaci v tomto procesu. Pravidla HAS2, stejně jako aplikace, jsou také 17stránkovým dokumentem. Nastiňuje postupy pro kvalifikační událost a formát pro závěrečnou soutěž CTF: „Poslední událostí bude CTF ve stylu „attack/defend“, ke kterému dochází pomocí simulovaného vesmírného systému, který zahrnuje virtualizovanou pozemní stanici, komunikační subsystém a fyzický satelitní hardware zvaný flatsat.
stejně jako tradičnější útok/obrana CTF budou mít týmy svůj vlastní zranitelný systém pro ovládání a obranu, zatímco útočí na identické systémy nepřátelských týmů. V systémech existuje řada zneužitelných zranitelností a týmy musí opravit nebo jinak zmírnit své vlastní zranitelnosti, aby byly chráněny před útoky vykořisťování, a přitom udržovat normální fungování systému (pravidlo 3.1).“Zní to jako multidimenzionální, simultánní penetrační testování vašeho vlastního systému a všech ostatních, a to vše, zatímco organizátoři pravidelně dotazují každý týmový systém na odpovědi.
pravidlo 5.1 zahrnuje způsobilost s úvodním předpokladem, že některé země budou vyloučeny ze začátku. Rovněž nejsou způsobilí “ jednotlivci, organizace nebo sponzoři, kteří jsou uvedeni ve speciálně určeném seznamu státních příslušníků ministerstva financí USA.“Vládní subjekty a jednotlivci (ze Spojených států nebo jiné země) nejsou způsobilí, ale jednotlivci jednající samostatně kromě vládní nebo vojenské služby se mohou kvalifikovat.
v části 5.4 je uveden seznam diskvalifikujících chování, včetně použití určitých hackerských nástrojů (nespecifické útoky odmítnutí služby proti jiným konkurentům)a jakékoli nedostatečné transparentnosti zveřejňování. „Žádný fyzický nátlak nebo zastrašování je povoleno,“ a “ jakékoli činy sabotáže, manipulace, zneužití, útoky, nebo použití bez souhlasu majetku organizátora obsahu, infrastruktura, zařízení, software … jsou výslovně zakázány.“
potenciál problémů by mohl být vážný, ale Thompson ujistil veřejnost: „bezpečnost a kybernetická odolnost našich systémů na oběžné dráze je absolutní nutností, protože se snažíme zajistit mírový rozvoj globálního vesmíru v nadcházejících desetiletích. To vyžadovalo mnoho specialit, takže partnerství napříč celým profesionálním spektrem kybernetické bezpečnosti jsou zásadní pro vývoj příští generace zabezpečených vesmírných systémů.“Hackeři z bílého klobouku jsou nyní součástí týmu v profesionálním spektru kybernetické bezpečnosti.
Poslední zakázka
vrchol 10 kvalifikace 2021 DEFCON 29 obsahují seznam barevných jmen včetně „OneSmallHackForMan“ a “ Polsko může do vesmíru.“Všechna skóre v předběžných soutěžích (a něco o každém týmu) jsou zveřejněna na www.hackasat.com. Osm nejlepších se dvěma náhradníky se nyní zapojí do závěrečné události CTF naplánované na dva dny počínaje 11. prosincem 2021 v 1 pm EST. Odpočítávání ve dnech, hodinách, minutách a sekundách tiká na domovské stránce HAS2.
