elokuussa 2019 DEF CON 28 hacker convention Las Vegasissa, Nev. Yhdysvaltain ilmavoimat toi F-15-hävittäjän tietojärjestelmän ja lähetti kutsun kaikille, jotka haluavat yrittää murtautua sen toimintaan ja saada sen hallintaansa.
hakkerit ja tietoturvatutkijat purkivat laitteen osiin ja raportoivat järjestelmän tietoturva-aukoista sitä mukaa, kun ne paljastuivat. Sotilasviranomaiset olivat erittäin tyytyväisiä kokeen tuloksiin, ja he päättivät palata vuonna 2020—satelliitin avulla.
DEF CON on yksi suurimmista hakkerikonventioista, ja se on ollut vuosittainen tapahtuma Las Vegasissa kesäkuusta 1993 lähtien. Se houkuttelee hakkereita ja tietoturva-ammattilaisia sekä liittovaltion hallituksen työntekijöitä, tietoturvatutkijoita, toimittajia ja opiskelijoita. Vuonna 2019 ilmavoimien hankinta -, teknologia-ja logistiikkaministeri Will Roper selitti Wired-lehden Brian Barrettille, miksi hänen asevoimien osastonsa raahasi konferenssiin hävittäjälentokoneita.
” meidän on päästävä yli pelostamme ottaa vastaan ulkopuolisia asiantuntijoita, jotka auttavat meitä olemaan turvassa. Meillä on edelleen kyberturvallisuusmenettelyt 1990-luvulta…. Oletamme, että jos rakennamme asioita suljettujen ovien takana, eikä kukaan koske niihin, ne ovat turvassa. Se voisi olla totta jossain määrin analogisessa maailmassa. Mutta yhä digitaalisemmassa maailmassa kaikessa on ohjelmisto mukana.”Tähän Barrett lisäsi alaviitteen muistuttaen lukijoita siitä, että kaikissa ohjelmissa on väistämättä bugeja, joita voidaan hyödyntää.
a MOON SHOT
tänä vuonna DEF CON 29 teki jälleen saman tarjouksen osallistujille, varsinaisille ja virtuaalisille, toisen kilpailun nimeltä Hack-a-Sat 2 (HAS2). Se perustettiin viime vuoden tapaan hakukierroksella, alustavalla karsintakierroksella ennen DEF Conia elokuussa ja sen jälkeen karsintojen viimeisessä kilpailussa. Jokainen, joka uskoi pystyvänsä hakkeroimaan satelliitin tai sen maa-aseman, kutsuttiin hakemaan.
eikä vain hakkeri prestige ollut vaakalaudalla, vaan rahapalkkiot olivat erittäin houkuttelevia. Karsintojen 10 parasta joukkuetta saivat kukin 10 000 dollaria, kolmas sija sai 20 000 dollaria, toinen 30 000 dollaria ja loppukilpailun ykköspalkinto oli 50 000 dollaria.
kesäkuussa 2021 alkaneessa vaiheessa oli useita haasteita, kuten koodaukseen liittyviä ongelmia, asioiden löytämistä, pulmia ja tarve näyttää jonkin verran järjestelmien hallintaa. Sitä seuraisi myöhemmin tänä vuonna DEF CON-tyylinen capture-the-flag (CTF)-kilpailu. Lopputapahtuma järjestettiin fyysisellä laitteistolla, joka oli tyypillinen oikeissa satelliiteissa käytetyille arkkitehtuureille ja suunnitelmille.
Roper kuvasi järjestelmän levinneisyyden laajuutta yhdellä ratkaistavista ongelmista: ”mitä aiomme tehdä on ottaa kameralla varustettu satelliitti, antaa sen osoittaa maahan, ja sitten tiimit yrittävät ottaa kameran gimbalit hallintaansa ja kääntyä kohti Kuuta. Kirjaimellisesti kuukuva.”Kilpailijoiden piti saada satelliitti nappaamaan kuva kuusta ja sitten hakea tuo kuva heidän tietokoneelleen.
hakija tarvitsi hakemukseen vain tietokoneen, jolla hän pystyi muodostamaan virtuaalisen yksityisverkon kautta yhteyden peli-infrastruktuuriin, mieluiten laajakaistayhteyden avulla. Heidänkin piti olla halukkaita tarkastettaviksi. ”Moon shot” – haasteeseen saapui yli 2 000 joukkuetta, jotka koostuivat 6 000 yksilöstä, jotka pystyivät yhdistämään, oppimaan ja testaamaan taitojaan. Aerotech News kertoi, ” näiden joukkueiden joukossa olivat maailman parhaat hakkerit,jotka viimeisellä kierroksella puolustivat ennennäkemätöntä satelliitin hakkerointihaastetta.”
ilmavoimien silloisen komentajan kenraaliluutnantti John F. Thompsonin näkökulmasta. Space Forcen Space and Missile Systems Center, validoi projektin tuomiolla, ” ensimmäinen Hack-a-Sat oli valtava menestys, kun se kokosi yhteen monipuolisen joukon hallituksen, kaupallisia ja yksityisiä organisaatioita ja yksilöitä testaamaan ja kehittämään kyberturvallisuusratkaisuja ainutlaatuisiin avaruusverkkoihimme.”
säännöt
4. toukokuuta 2021 julkaistiin ilmavoimien tutkimuslaboratorion hakemus tämän vuoden haasteeseen. Kaikki joukkueet, jotka ovat kiinnostuneita kaksivaiheisesta kilpailusta rahapalkkioineen ja merkittävine hakkeri-kätköineen, voivat täyttää 17-sivuisen hakemuksen, joka sisälsi vanhempien tai huoltajien täyttämän vapautuslomakkeen tiimisi alaikäisille alaikäisille, neljä sivua oikeudellisia kysymyksiä, joissa käsitellään velkoja yksityiskohtaisesti, ja automaattisen selvitysyhteisön lomakkeen voittajien tarkastusten reitittämiseksi.
ilmavoimien kisasäännöt tarjoavat mielenkiintoisia oivalluksia siitä, miten yhteistyöstä voi hyötyä ilman riskiä, että joutuu mukaan kisaan. HAS2-säännöt, kuten sovellus, on myös 17-sivuinen asiakirja. Siinä esitetään menettelyt pätevyys tapahtuma ja muoto lopullinen CTF kilpailu: ”lopullinen tapahtuma on’ hyökkäys / puolustaa ’ tyyli CTF, joka tapahtuu käyttämällä simuloitu avaruusjärjestelmä sisältää virtualisoitu maa-asema, viestinnän alijärjestelmä, ja fyysinen satelliitti laitteisto nimeltään flatsat.
perinteisemmän attack/defend CTF: n tapaan joukkueilla on oma haavoittuva järjestelmänsä, jolla operoida ja puolustaa, samalla kun ne hyökkäävät vastapuolen identtisiä järjestelmiä vastaan. Järjestelmissä on useita hyödynnettäviä haavoittuvuuksia, ja tiimien tulee paikata tai muuten lieventää omia haavoittuvuuksiaan suojautuakseen hyväksikäyttöhyökkäyksiltä, pitäen järjestelmä kuitenkin normaalisti toiminnassa (sääntö 3.1).”Se kuulostaa moniulotteiselta, samanaikaiselta tunkeutumistestaukselta omalle järjestelmälle ja kaikille muille, ja kaikki samalla, kun järjestäjät säännöllisesti äänestävät jokaisen joukkueen järjestelmän vastauksista.
sääntö 5.1 koskee kelpoisuusehtoja, joiden lähtökohtana on, että tietyt maat suljetaan pois alusta. Myöskään ”henkilöt, järjestöt tai sponsorit, jotka on nimetty Yhdysvaltain valtiovarainministeriön erityisesti nimettyjen kansalaisten luettelossa, eivät ole tukikelpoisia.”Hallituksen yksiköt ja henkilöt (Yhdysvalloista tai muusta maasta) eivät ole oikeutettuja, mutta yksilöt toimivat omasta lisäksi hallituksen tai asevelvollisuuden voisi pätevöityä.
kohdassa 5.4 on luettelo hylkäävistä toimintatavoista, mukaan lukien tiettyjen hakkerointityökalujen käyttö (epäspesifiset palvelunestohyökkäykset muita kilpailijoita vastaan) ja tietojen avoimuuden puute. ”Mikään fyysinen pakottaminen tai pelottelu ei ole sallittua ”ja” sabotaasi, peukalointi, väärinkäyttö, hyökkäykset tai käyttö ilman sisällön Järjestäjän omaisuuden, infrastruktuurin, laitteiden, ohjelmistojen suostumusta…on nimenomaisesti kielletty.”
ongelmien mahdollisuus voisi olla vakava, mutta Thompson rauhoitteli yleisöä: ”kiertoradalla olevien järjestelmiemme turvallisuus ja kybervastaisuus on ehdoton välttämättömyys, kun pyrimme takaamaan avaruuden globaalien yhteishyödykkeiden rauhanomaisen kehityksen tulevina vuosikymmeninä. Tämä vaati lukuisia erikoisuuksia, joten kumppanuudet koko ammatillisen kyberturvallisuuden taajuudella ovat elintärkeitä seuraavan sukupolven turvallisten avaruusjärjestelmien kehittämisessä.”Valkohattuhakkerit ovat nyt osa tiimiä ammattimaisen kyberturvallisuuden spektrissä.
lopullinen kihlaus
vuoden 2021 DEFCON 29: n top 10-karsinnoissa on lista värikkäitä nimiä, kuten ”OneSmallHackForMan” ja ”puola voi avaruuteen.”Kaikki tulokset preliminaries (ja jotain kunkin joukkueen) on lähetetty www.hackasat.com. Kahdeksan parasta, joilla on kaksi varajäsentä, osallistuvat nyt kahden päivän mittaiseen viimeiseen CTF-tapahtumaan, joka alkaa 11.joulukuuta 2021 kello 13. EST. Lähtölaskenta päivissä, tunneissa, minuuteissa ja sekunneissa tikittää HAS2-kotisivulla.