Durante la convención de hackers DEF CON 28 de agosto de 2019 en Las Vegas, Nevada., la Fuerza Aérea de los Estados Unidos trajo un sistema de datos de aviones de combate F-15 y emitió una llamada a cualquiera que quisiera intentar hackear y obtener el control de sus operaciones.
Equipos de hackers e investigadores de seguridad desmontaron la unidad e informaron de los fallos de seguridad en el sistema a medida que los descubrían. Los oficiales militares estaban muy contentos con los resultados del experimento, y decidieron regresar en 2020, con un satélite.
DEF CON es una de las convenciones de hackers más grandes, y ha sido un evento anual en Las Vegas desde junio de 1993. Atrae a hackers y profesionales de seguridad informática junto con empleados del gobierno federal, investigadores de seguridad, periodistas y estudiantes. En 2019, Will Roper, subsecretario de adquisición, tecnología y logística de la Fuerza Aérea, explicó a Brian Barrett de la revista Wired por qué su rama de las fuerzas armadas transportaba hardware de caza a la conferencia.
» Tenemos que superar nuestro miedo a aceptar expertos externos que nos ayuden a estar seguros. Seguimos llevando procedimientos de ciberseguridad de la década de 1990…. Suponemos que si construimos cosas a puerta cerrada y nadie las toca, estarán seguras. Eso podría ser cierto hasta cierto punto en un mundo analógico. Pero en el mundo cada vez más digital, todo tiene software.»A esto, Barrett agregó una nota al pie que recuerda a los lectores que todo software inevitablemente tiene errores que se pueden explotar.
A MOON SHOT
Este año, DEF CON 29 una vez más hizo la misma oferta a los asistentes, real y virtual, con otra competencia llamada Hack-A-Sat 2 (HAS2). Se creó de la misma manera que el año pasado con una convocatoria de inscripciones, una ronda de clasificación preliminar antes de DEF CON en agosto, y luego la competencia final entre los clasificatorios. Cualquier persona que pensara que podría ser capaz de hackear un satélite, o su estación terrestre, fue invitada a postularse.
Y no era solo el prestigio de hacker lo que estaba en juego; las recompensas en efectivo eran muy atractivas. Los 10 mejores equipos clasificatorios recibieron 1 10.000 cada uno, el tercer lugar recibió 2 20.000, el segundo $30.000, y el primer premio en la competencia final fue de 5 50.000.
La fase preliminar en junio de 2021 tuvo una serie de desafíos, como problemas a resolver con la codificación, la búsqueda de cosas, rompecabezas y la necesidad de mostrar cierto control sobre los sistemas. Eso sería seguido más adelante en el año por un concurso completo de captura de la bandera (CTF) al estilo DEF CON. El evento final se llevó a cabo en hardware físico que era típico de las arquitecturas y diseños utilizados en satélites reales.
Roper describió el alcance de la penetración del sistema con uno de los problemas a resolver: «Lo que planeamos hacer es tomar un satélite con una cámara, hacer que apunte a la Tierra, y luego hacer que los equipos intenten tomar el control de los cardanes de la cámara y girar hacia la luna. Así que, un plano lunar literal.»Los concursantes tuvieron que conseguir que el satélite tomara una foto de la luna y luego recuperara esa imagen en su computadora.
Todo lo que el solicitante necesitaba era una computadora para conectarse a través de una red privada virtual a la infraestructura del juego, preferiblemente con una conexión de banda ancha. También tenían que estar dispuestos a ser investigados. El desafío «disparo a la luna» logró que más de 2.000 equipos, formados por 6.000 personas, pudieran conectarse, aprender y poner a prueba sus habilidades. Aerotech News informó: «Entre estos equipos se encontraban los mejores hackers del mundo, quienes, durante la ronda final, defendieron un desafío de piratería satelital en órbita nunca antes realizado.»
Desde el punto de vista de la Fuerza Aérea, el Teniente General John F. Thompson, entonces comandante de los Estados Unidos. El Centro de Sistemas Espaciales y de Misiles de la Fuerza Espacial validó el proyecto con la sentencia: «El primer Hack-A-Sat fue un tremendo éxito al reunir a un grupo diverso de organizaciones e individuos gubernamentales, comerciales y privados para probar y desarrollar soluciones de ciberseguridad para nuestras redes espaciales únicas.»
LAS REGLAS
El 4 de mayo de 2021, se lanzó la aplicación del Laboratorio de Investigación de la Fuerza Aérea para el desafío de este año. Cualquier equipo interesado en una competencia de dos etapas con recompensas en efectivo y un caché de hackers significativo podría completar la solicitud de 17 páginas, que incluía un formulario de liberación para ser llenado por los padres o tutores para cualquier menor de su equipo, cuatro páginas de asuntos legales que abordan las responsabilidades en detalle y un formulario de cámara de compensación automatizada para enrutar los cheques de los ganadores.
Las reglas de la Fuerza Aérea para el concurso ofrecen ideas interesantes sobre cómo beneficiarse de la cooperación sin arriesgarse a ser cooptados en el proceso. Las Reglas de HAS2, al igual que la aplicación, también son un documento de 17 páginas. Describe los procedimientos para el evento de calificación y el formato para el concurso final de CTF: «El Evento Final será un CTF estilo ‘ataque/defensa’ que se produce utilizando un sistema espacial simulado para incluir una estación terrestre virtualizada, un subsistema de comunicaciones y hardware de satélite físico llamado flatsat.
Al igual que un CTF de ataque/defensa más tradicional, los equipos tendrán su propio sistema vulnerable para operar y defender, mientras atacan los sistemas idénticos de los equipos opuestos. Existen varias vulnerabilidades explotables en los sistemas y los equipos deben parchear o mitigar sus propias vulnerabilidades para protegerse de ataques de explotación, manteniendo el sistema funcionando normalmente (Regla 3.1).»Suena como una prueba de penetración multidimensional y simultánea de su propio sistema y de todos los demás, y todo mientras los organizadores encuestan regularmente a cada sistema de equipo para obtener las respuestas.
La regla 5.1 cubre la elegibilidad con la premisa inicial de que ciertos países serán excluidos desde el principio. Tampoco son elegibles «las personas, organizaciones o patrocinadores que figuran en la lista de Nacionales Especialmente Designados del Departamento del Tesoro de los Estados Unidos».»Las entidades gubernamentales y las personas (de los Estados Unidos o de cualquier otro país) no son elegibles, pero las personas que actúan por su cuenta, aparte del servicio gubernamental o militar, podrían calificar.
En la Sección 5.4, hay una lista de conductas descalificadoras que incluyen el uso de ciertas herramientas de piratería (ataques de denegación de servicio inespecíficos contra otros competidores) y cualquier falta de transparencia en las divulgaciones. «No se permite coacción física o intimidación», y » Cualquier acto de sabotaje, manipulación, mal uso, ataques o uso sin el consentimiento de la propiedad, infraestructura, equipo, software del organizador de contenido are están expresamente prohibidos.»
El potencial de problemas podría ser grave, pero Thompson tranquilizó al público: «La seguridad y la resistencia cibernética de nuestros sistemas en órbita es una necesidad absoluta a medida que buscamos garantizar el desarrollo pacífico de los bienes comunes mundiales del espacio en las próximas décadas. Esto requería una multitud de especialidades, por lo que las asociaciones en todo el espectro de ciberseguridad profesional son vitales para desarrollar la próxima generación de sistemas espaciales seguros.»Los hackers de sombrero blanco ahora forman parte del equipo en el espectro de la ciberseguridad profesional.
EL COMPROMISO FINAL
Los 10 mejores clasificados de la DEFCON 29 2021 incluyen una lista de nombres coloridos que incluyen «OneSmallHackForMan» y «Polonia puede Ir al Espacio.»Todos los resultados de las preliminares (y algo sobre cada equipo) se publican en www.hackasat.com. Los ocho primeros con dos suplentes participarán ahora en el evento final de la CTF programado para dos días a partir del 11 de diciembre de 2021, a la 1 p. m.Hora del Este. La cuenta atrás en días, horas, minutos y segundos se desactiva en la página de inicio de HAS2.
