Während der DEF CON 28 Hacker Convention im August 2019 in Las Vegas, Nevada. Die US-Luftwaffe brachte ein F-15-Kampfjet-Datensystem mit und rief jeden an, der versuchen möchte, sich in seine Operationen zu hacken und die Kontrolle darüber zu erlangen.
Teams von Hackern und Sicherheitsforschern nahmen das Gerät auseinander und meldeten die Sicherheitslücken im System, als sie sie aufdeckten. Die Militärs waren mit den Ergebnissen des Experiments sehr zufrieden und beschlossen, 2020 zurückzukehren — mit einem Satelliten.
Die DEF CON ist eine der größten Hacker-Conventions und findet seit Juni 1993 jährlich in Las Vegas statt. Es zieht Hacker und Computersicherheitsexperten zusammen mit Mitarbeitern der Bundesregierung, Sicherheitsforschern, Journalisten und Studenten an. Im Jahr 2019 erklärte Will Roper, stellvertretender Sekretär der Luftwaffe für Beschaffung, Technologie und Logistik, Brian Barrett vom Wired Magazine, warum sein Zweig der Streitkräfte Kampfjet-Hardware zur Konferenz transportierte.
„Wir müssen unsere Angst überwinden, uns auf externe Experten zu verlassen, um sicher zu sein. Wir führen immer noch Cybersicherheitsverfahren aus den 1990er Jahren durch …. Wir gehen davon aus, dass, wenn wir Dinge hinter verschlossenen Türen bauen und niemand sie berührt, sie sicher sind. Das mag in einer analogen Welt bis zu einem gewissen Grad zutreffen. Aber in der zunehmend digitalen Welt hat alles Software.“ Dazu fügte Barrett eine Fußnote hinzu, die die Leser daran erinnert, dass jede Software zwangsläufig Fehler aufweist, die ausgenutzt werden können.
Ein MONDSCHUSS
In diesem Jahr hat DEF CON 29 den Teilnehmern mit einem weiteren Wettbewerb namens Hack-A-Sat 2 (HAS2) erneut das gleiche Angebot gemacht. Es wurde wie im letzten Jahr mit einem Aufruf zur Einreichung von Vorschlägen, einer vorläufigen Qualifikationsrunde vor der DEF CON im August und dem abschließenden Wettbewerb unter den Qualifikanten eingerichtet. Jeder, der dachte, er könnte einen Satelliten oder seine Bodenstation hacken, wurde eingeladen, sich zu bewerben.
Und es war nicht nur Hacker-Prestige, das auf dem Spiel stand; Die Geldprämien waren sehr attraktiv. Die 10 besten Qualifikationsteams erhielten jeweils 10.000 US-Dollar, der dritte Platz erhielt 20.000 US-Dollar, der zweite 30.000 US-Dollar und der Hauptpreis im letzten Wettbewerb betrug 50.000 US-Dollar.
Die Vorphase im Juni 2021 hatte eine Reihe von Herausforderungen wie Probleme beim Codieren, Finden von Dingen, Rätseln und die Notwendigkeit, eine gewisse Kontrolle über die Systeme zu zeigen. Darauf folgte später im Jahr ein All-out DEF CON-Stil Capture-the-Flag (CTF) Wettbewerb. Die Abschlussveranstaltung fand auf physischer Hardware statt, die typisch für die Architekturen und Designs realer Satelliten war.
Roper beschrieb das Ausmaß der Systemdurchdringung mit einem der zu lösenden Probleme: „Was wir vorhaben, ist, einen Satelliten mit einer Kamera zu nehmen, ihn auf die Erde zu richten und dann die Teams versuchen zu lassen, die Kontrolle über die Kamerakardanringe zu übernehmen und sich dem Mond zuzuwenden. Also, ein wörtlicher Mondschuss.“ Die Teilnehmer mussten den Satelliten erfolgreich ein Foto des Mondes machen lassen und dieses Bild dann auf ihrem Computer abrufen.
Der Antragsteller benötigte lediglich einen Computer, um sich über ein virtuelles privates Netzwerk mit der Spielinfrastruktur zu verbinden, vorzugsweise mit einer Breitbandverbindung. Sie mussten auch bereit sein, überprüft zu werden. Die „Moon Shot“ -Herausforderung brachte mehr als 2.000 Teams mit 6.000 Personen zusammen, die sich verbinden, lernen und ihre Fähigkeiten testen konnten. Aerotech News berichtete: „Unter diesen Teams befanden sich die besten Hacker der Welt, die sich während der letzten Runde für eine noch nie dagewesene Hacking-Herausforderung für Satelliten im Orbit einsetzten.“
Aus der Sicht der Luftwaffe, Generalleutnant John F. Thompson, dann-Kommandant der U.S. Das Space and Missile Systems Center der Space Force bestätigte das Projekt mit dem Urteil: „Der erste Hack-A-Sat war ein enormer Erfolg, da er eine vielfältige Gruppe von Regierungs-, kommerziellen und privaten Organisationen und Einzelpersonen zusammenbrachte, um Cybersicherheitslösungen für unsere einzigartigen Weltraumnetzwerke zu testen und zu entwickeln.“
DIE REGELN
Am 4. Mai 2021 wurde die Anwendung des Air Force Research Laboratory für die diesjährige Herausforderung veröffentlicht. Alle Teams, die an einem zweistufigen Wettbewerb mit Geldprämien und erheblichem Hacker-Cache interessiert sind, können den 17-seitigen Antrag ausfüllen, der ein Freigabeformular enthält, das von Eltern oder Erziehungsberechtigten für Minderjährige in Ihrem Team ausgefüllt werden muss.
Die Regeln der Luftwaffe für den Wettbewerb bieten interessante Einblicke, wie man von der Zusammenarbeit profitieren kann, ohne dabei zu riskieren, kooptiert zu werden. Die HAS2-Regeln sind wie die Anwendung auch ein 17-seitiges Dokument. Es beschreibt die Verfahren für das Qualifikationsereignis und das Format für den endgültigen CTF-Wettbewerb: „Das letzte Ereignis wird ein CTF im“Attack / Defend“ -Stil sein, das unter Verwendung eines simulierten Weltraumsystems mit einer virtualisierten Bodenstation, einem Kommunikationssubsystem und einer physischen Satellitenhardware namens Flatsat stattfindet.
Wie bei einer traditionelleren Attack / Defend-CTF haben die Teams ihr eigenes anfälliges System, um zu operieren und zu verteidigen, während sie die identischen Systeme der gegnerischen Teams angreifen. In den Systemen gibt es eine Reihe von ausnutzbaren Schwachstellen, und die Teams müssen ihre eigenen Schwachstellen patchen oder anderweitig mindern, um sich vor Ausnutzungsangriffen zu schützen und gleichzeitig das System normal funktionieren zu lassen (Regel 3.1).“ Es klingt wie ein mehrdimensionaler, gleichzeitiger Penetrationstest des eigenen Systems und aller anderen, und das alles, während die Organisatoren regelmäßig jedes Teamsystem nach den Antworten abfragen.
Regel 5.1 deckt die Teilnahmeberechtigung mit der Prämisse ab, dass bestimmte Länder von Anfang an ausgeschlossen werden. Ebenfalls nicht teilnahmeberechtigt sind „Einzelpersonen, Organisationen oder Sponsoren, die in der Specially Designated Nationals List des US-Finanzministeriums genannt sind.“ Regierungsstellen und Einzelpersonen (aus den Vereinigten Staaten oder einem anderen Land) sind nicht berechtigt, aber Einzelpersonen, die unabhängig vom Regierungs- oder Militärdienst handeln, können sich qualifizieren.
In Abschnitt 5.4 gibt es eine Liste disqualifizierender Verhaltensweisen, einschließlich der Verwendung bestimmter Hacking-Tools (unspezifische Denial-of-Service-Angriffe gegen andere Wettbewerber) und mangelnder Transparenz bei der Offenlegung. „Keine körperliche Nötigung oder Einschüchterung ist erlaubt“, und „Sabotageakte, Manipulationen, Missbrauch, Angriffe oder die Verwendung des Eigentums, der Infrastruktur, der Ausrüstung, der Software des Inhaltsverantwortlichen ohne Zustimmung des Inhaltsverantwortlichen sind ausdrücklich verboten.“
Das Potenzial für Probleme könnte ernst sein, aber Thompson versicherte der Öffentlichkeit: „Die Sicherheit und Cyber-Resilienz unserer Systeme im Orbit ist eine absolute Notwendigkeit, wenn wir die friedliche Entwicklung der globalen Gemeingüter des Weltraums in den kommenden Jahrzehnten sicherstellen wollen. Dies erforderte eine Vielzahl von Spezialitäten, Daher sind Partnerschaften über das gesamte professionelle Cybersicherheitsspektrum hinweg für die Entwicklung der nächsten Generation sicherer Raumfahrtsysteme von entscheidender Bedeutung.“ White-Hat-Hacker sind jetzt Teil des Teams im professionellen Cybersicherheitsspektrum.
DIE LETZTE VERLOBUNG
Die Top-10-Qualifikationsspiele der DEFCON 29 2021 enthalten eine Liste farbenfroher Namen, darunter „OneSmallHackForMan“ und „Polen kann in den Weltraum.“ Alle Ergebnisse in den Vorrunden (und etwas über jedes Team) werden auf www.hackasat.com. Die besten acht mit zwei Stellvertretern werden nun an der letzten CTF-Veranstaltung teilnehmen, die über zwei Tage ab Dezember 11, 2021, bei 1 pm EST geplant ist. Der Countdown in Tagen, Stunden, Minuten und Sekunden läuft auf der HAS2-Homepage ab.