en Invitation til at hacke en satellit

i løbet af August 2019 DEF CON 28 hacker konvention i Las Vegas, Nev., det amerikanske luftvåben bragte et F-15 fighter-jet datasystem og udsendte et opkald til enhver, der gerne vil prøve at hacke sig ind og få kontrol over dets operationer.

hold af hackere og sikkerhedsforskere tog enheden fra hinanden og rapporterede sikkerhedsfejlene i systemet, da de afslørede dem. De militære embedsmænd var meget tilfredse med resultaterne af eksperimentet, og de besluttede at vende tilbage i 2020—med en satellit.

DEF CON er en af de største hacker konventioner, og det har været en årlig begivenhed i Las Vegas siden juni 1993. Det tiltrækker hackere og computersikkerhedspersonale sammen med føderale regeringsansatte, sikkerhedsforskere, journalister og studerende. I 2019 vil Roper, assisterende sekretær for luftvåbenet for erhvervelse, teknologi og logistik, forklarede Brian Barrett fra kablet magasin, hvorfor hans gren af de væbnede styrker trak jagerflyudstyr til konferencen.

” vi er nødt til at komme over vores frygt for at omfavne eksterne eksperter for at hjælpe os med at være sikre. Vi udfører stadig cybersikkerhedsprocedurer fra 1990 ‘ erne…. Vi antager, at hvis vi bygger ting bag lukkede døre, og ingen rører ved dem, vil de være sikre. Det kan være sandt til en vis grad i en analog verden. Men i den stadig mere digitale verden har ALT programmer i sig.”Til dette tilføjede Barrett en fodnote, der mindede læserne om, at alle programmer uundgåeligt har fejl, der kan udnyttes.

et måneskud

i år fremsatte DEF CON 29 igen det samme tilbud til dem, der deltog, faktiske og virtuelle, med en anden konkurrence ved navn Hack-A-Sat 2 (HAS2). Det blev oprettet på samme måde som sidste år med en indkaldelse af indlæg, en foreløbig kvalifikationsrunde før DEF CON i August og derefter den sidste konkurrence blandt kvalifikationerne. Enhver, der troede, at de måske kunne hacke en satellit eller dens jordstation, blev inviteret til at ansøge.

og det var ikke kun hacker prestige, der ville være på linjen; kontantbelønningerne var meget attraktive. De 10 bedste kvalificerende hold blev tildelt $10.000 hver, tredjepladsen modtog $20.000, anden $30.000, og toppræmien i den sidste konkurrence var $50.000.

den indledende fase i juni 2021 havde en række udfordringer som problemer, der skulle løses med kodning, finde ting, gåder og behovet for at vise en vis kontrol over systemerne. Det ville blive fulgt senere på året af en all-out DEF CON-style capture-the-flag (CTF) konkurrence. Den sidste begivenhed var vært på fysisk udstyr, der var typisk for arkitekturer og design, der blev brugt i rigtige satellitter.

Roper beskrev omfanget af systemindtrængningen med et af de problemer, der skal løses: “hvad vi planlægger at gøre er at tage en satellit med et kamera, få det til at pege på jorden, og så har holdene forsøgt at overtage kontrollen over kameraets gimbaler og dreje mod månen. Så et bogstaveligt måneskud.”Deltagerne måtte med succes få satellitten til at tage et foto af Månen og derefter hente det billede til deres computer.

alt, hvad ansøgeren havde brug for, var en computer til at oprette forbindelse via et virtuelt privat netværk til spilinfrastrukturen, helst med en bredbåndsforbindelse. De måtte også være villige til at blive undersøgt. “Moon shot” – udfordringen landede mere end 2.000 hold bestående af 6.000 personer, der var i stand til at forbinde, lære og teste deres færdigheder. Aerotech nyheder rapporterede, “blandt disse hold var verdens bedste hackere, der i sidste runde kæmpede for en aldrig-blevet-gjort-før-satellithacking-udfordring.”

set fra luftvåbnets synspunkt, generalløjtnant John F. Thompson, daværende øverstbefalende for USA. Space Force ‘ s Space and Missile Systems Center, validerede projektet med dommen, “den første Hack-A-Sat var en enorm succes med at samle en forskelligartet gruppe af regering, kommerciel, og private organisationer og enkeltpersoner til at teste og udvikle cybersikkerhedsløsninger til vores unikke rumnetværk.”

reglerne

den 4.maj 2021 blev ansøgningen fra Air Force Research Laboratory frigivet til dette års udfordring. Alle hold, der er interesseret i en to-trins konkurrence med kontante belønninger og betydelig hacker-cache, kunne udfylde ansøgningen på 17 sider, som indeholdt en frigivelsesformular, der skulle udfyldes af forældre eller værger for mindreårige på dit team, fire sider med juridiske problemer, der adresserer forpligtelser i detaljer, og en automatiseret clearinghusformular til routing af vindernes kontrol.

Luftvåbenreglerne for konkurrencen giver interessant indsigt i, hvordan man kan drage fordel af samarbejde uden at risikere at blive koopteret i processen. HAS2-reglerne er ligesom applikationen også et 17-siders dokument. Den skitserer procedurerne for kvalifikationsbegivenheden og formatet for den endelige CTF-konkurrence: “den sidste begivenhed vil være en ‘attack/defend’ – stil CTF, der opstår ved hjælp af et simuleret rumsystem til at omfatte en virtualiseret jordstation, et kommunikationsundersystem og fysisk satellitudstyr kaldet en flatsat.

som et mere traditionelt angreb/forsvar CTF vil holdene have deres eget sårbare system til at betjene og forsvare, mens de angriber modstanders identiske systemer. Der findes en række udnyttelige sårbarheder i systemerne, og holdene skal lappe eller på anden måde afbøde deres egne sårbarheder for at beskytte mod udnyttelsesangreb, samtidig med at systemet fungerer normalt (regel 3.1).”Det lyder som en multidimensionel, samtidig penetrationstest af dit eget system og alle de andre, og alt imens arrangørerne regelmæssigt afstemmer hvert holdsystem for svarene.

regel 5.1 dækker støtteberettigelse med en indledende forudsætning om, at visse lande vil blive udelukket fra starten. Også ikke berettiget er ” enkeltpersoner, organisationer eller sponsorer, der er navngivet i specielt udpegede statsborgere liste over US Department of Treasury.”Regeringsenheder og enkeltpersoner (fra USA eller ethvert andet land) er ikke berettigede, men enkeltpersoner, der handler alene bortset fra regering eller militærtjeneste, kan kvalificere sig.

i Afsnit 5.4 Er der en liste over diskvalificerende adfærd, herunder brug af visse hackingværktøjer (uspecifikke lammelsesangreb mod andre konkurrenter) og enhver manglende gennemsigtighed i afsløringer. “Ingen fysisk tvang eller intimidering er tilladt,” og ” enhver form for sabotage, manipulation, misbrug, angreb eller brug uden samtykke fra indhold arrangørens ejendom, infrastruktur, udstyr, programmel…er udtrykkeligt forbudt.”

potentialet for problemer kan være alvorligt, men Thompson beroligede offentligheden: “sikkerheden og cyber-robustheden i vores on-orbit-systemer er en absolut nødvendighed, da vi ser ud til at sikre en fredelig udvikling af det globale fælles rum i de kommende årtier. Dette krævede en lang række specialiteter, så partnerskaber på tværs af hele det professionelle cybersikkerhedsspektrum er afgørende for at udvikle den næste generation af sikre rumsystemer.”Hackere med hvid hat er nu en del af teamet inden for det professionelle cybersikkerhedsspektrum.

det endelige ENGAGEMENT

de 10 bedste kvalifikationskampe i 2021 DEFCON 29 inkluderer en liste over farverige navne inklusive “OneSmallHackForMan” og “Polen kan ud i rummet.”Alle scoringer i forberedelserne (og noget om hvert hold) er lagt ud på www.hackasat.com. De øverste otte med to suppleanter deltager nu i den endelige CTF-begivenhed, der er planlagt over to dage, der begynder den 11.December 2021, klokken 1. Nedtællingen i dage, timer, minutter og sekunder tikker af på HAS2-startsiden.

Write a Comment

Din e-mailadresse vil ikke blive publiceret.