a 2019. augusztusi DEF CON 28 hacker konferencia során Las Vegasban, Nev. az amerikai légierő hozott egy F-15-ös vadászgép adatrendszert, és felhívott mindenkit, aki meg akarja próbálni feltörni és átvenni az irányítást a műveletei felett.
hackerek és biztonsági kutatók csapatai szétszedték az egységet, és jelentették a rendszer biztonsági hibáit, amikor felfedezték őket. A katonai tisztviselők nagyon elégedettek voltak a kísérlet eredményeivel, és úgy döntöttek, hogy 2020—ban visszatérnek-műholddal.
a DEF CON az egyik legnagyobb hacker egyezmény, amely 1993 júniusa óta évente megrendezésre kerül Las Vegasban. Vonzza a hackereket és a számítógépes biztonsági szakembereket, valamint a szövetségi kormány alkalmazottait, biztonsági kutatókat, újságírókat és diákokat. 2019-ben Will Roper, a légierő akvizícióért, technológiáért és logisztikáért felelős helyettes titkára elmagyarázta Brian Barrettnek a Wired magazinnak, hogy a fegyveres erők ága miért szállít vadászgép-hardvert a konferenciára.
“túl kell lépnünk azon a félelmünkön, hogy külső szakértőket fogadunk be a biztonságunk érdekében. Az 1990-es évektől még mindig kiberbiztonsági eljárásokat folytatunk…. Feltételezzük, hogy ha zárt ajtók mögött építünk dolgokat, és senki sem nyúl hozzájuk, akkor biztonságban lesznek. Ez bizonyos mértékig igaz lehet egy analóg világban. De az egyre inkább digitális világban mindennek van szoftvere.”Ehhez Barrett hozzáadott egy lábjegyzetet, amely emlékezteti az olvasókat, hogy minden szoftver elkerülhetetlenül hibákat tartalmaz, amelyeket ki lehet használni.
a MOON SHOT
ebben az évben a DEF CON 29 ismét ugyanazt az ajánlatot tette a résztvevőknek, tényleges és virtuális, egy másik versenyen, a Hack-A-Sat 2 (HAS2) néven. Ugyanúgy hozták létre, mint tavaly, pályázati felhívással, előzetes kvalifikációs fordulóval az augusztusi DEF CON előtt, majd a selejtezők közötti utolsó verseny. Bárki, aki úgy gondolta, hogy képes lehet feltörni egy műholdat,vagy annak földi állomását, meghívást kapott.
és nem csak a hacker prestige volt a tét, hanem a pénzjutalmak is nagyon vonzóak voltak. A legjobb 10 kvalifikációs Csapat egyenként 10 000 dollárt kapott, a harmadik hely 20 000, a második 30 000 dollárt kapott, a végső verseny fődíja pedig 50 000 dollár volt.
az előzetes szakasz 2021 júniusában számos kihívást jelentett, például a kódolással megoldandó problémákat, a dolgok megtalálását, a rejtvényeket, valamint a rendszerek feletti ellenőrzés szükségességét. Ezt később az év folyamán egy teljes DEF CON stílusú zászló elfogása (CTF) verseny követi. A végső esemény házigazdája a fizikai hardver, amely jellemző volt az architektúrák és tervek használt valódi műholdak.
Roper leírta a rendszer behatolásának mértékét az egyik megoldandó problémával: “azt tervezzük, hogy veszünk egy műholdat egy kamerával, hogy a Föld felé mutasson, majd a csapatokkal megpróbáljuk átvenni a kamera kardántengelyeinek irányítását és a Hold felé fordulni. Szóval, egy szó szerinti Hold lövés.”A versenyzőknek sikeresen meg kellett kérniük a műholdat, hogy készítsen egy fényképet a Holdról, majd töltse le ezt a képet a számítógépükre.
a pályázónak csak egy számítógépre volt szüksége ahhoz, hogy virtuális magánhálózaton keresztül csatlakozzon a játék infrastruktúrájához, lehetőleg szélessávú kapcsolattal. Nekik is hajlandónak kellett lenniük arra, hogy átvilágítsák őket. A “moon shot” kihívás több mint 2000 csapatot hozott létre, amelyek 6000 egyénből álltak, akik képesek voltak összekapcsolni, tanulni és tesztelni képességeiket. Az Aerotech News arról számolt be: “ezek között a csapatok között voltak a világ legjobb hackerei, akik az utolsó forduló során soha nem történt meg a pályán műholdas hackelés kihívás.”
a légierő szempontjából John F. Thompson altábornagy, az Egyesült Államok akkori parancsnoka. “Az első Hack-a-Sat óriási siker volt a kormányzati, kereskedelmi és magánszervezetek és magánszemélyek sokszínű csoportjának összehozásában, hogy teszteljék és fejlesszék kiberbiztonsági megoldásainkat egyedi űrhálózatainkhoz.”
a szabályok
május 4-én 2021-ben kiadták a légierő Kutatólaboratóriumának kérelmét az idei kihívásra. Minden csapat érdekelt egy kétlépcsős verseny pénzjutalommal és jelentős hacker gyorsítótár is töltse ki a 17 oldalas alkalmazás, amely tartalmazza a kiadási űrlapot kell kitölteni a szülők vagy gondviselők minden kiskorúak a csapatban, négy oldal jogi kérdések kezelése részletesen kötelezettségek, valamint egy automatizált elszámolóház űrlapot routing a nyertesek csekkek.
a légierő versenyszabályai érdekes betekintést nyújtanak arra, hogyan lehet kihasználni az együttműködést anélkül, hogy kockáztatnák, hogy részt vesznek a folyamatban. A HAS2 szabályok, mint az alkalmazás, szintén 17 oldalas dokumentum. Felvázolja a kvalifikációs esemény eljárásait és a végső CTF verseny formátumát:” az utolsó esemény egy “attack/defend” stílusú CTF lesz, amely egy szimulált űrrendszer segítségével történik, amely magában foglal egy virtualizált földi állomást, egy kommunikációs alrendszert és a flatsat nevű fizikai műholdas hardvert.
mint egy hagyományosabb támadás/védekezés CTF, a csapatoknak saját sebezhető rendszerük lesz a működéshez és a védekezéshez, miközben megtámadják az ellenfél azonos rendszereit. Számos kihasználható sebezhetőség létezik a rendszerekben, és a csapatoknak javítaniuk kell vagy más módon enyhíteniük kell saját sebezhetőségüket a kizsákmányolási támadások elleni védelem érdekében, miközben a rendszer normálisan működik (3.1 szabály).”Úgy hangzik, mint egy multidimenzionális, egyidejű penetrációs teszt a saját rendszereden és az összes többin, miközben a szervezők rendszeresen lekérdezik az egyes csapatrendszereket a válaszokra.
az 5.1 szabály a jogosultságra vonatkozik, azzal a nyitó feltevéssel, hogy bizonyos országokat kizárnak a kezdetektől. Szintén nem támogathatók ” olyan személyek, szervezetek vagy szponzorok, akiket az Egyesült Államok Pénzügyminisztériumának speciálisan kijelölt állampolgárai listáján neveznek meg.”Kormányzati szervek és magánszemélyek (az Egyesült Államokból vagy bármely más országból) nem jogosultak, de a kormányzati vagy katonai szolgálaton kívül önállóan eljáró személyek jogosultak lehetnek.
az 5.4 pontban felsoroljuk a kizáró magatartásokat, beleértve bizonyos hacker eszközök használatát (nem specifikus szolgáltatásmegtagadási támadások más versenytársak ellen), valamint a közzétételek átláthatóságának hiányát. “Semmilyen fizikai kényszerítés vagy megfélemlítés nem megengedett”, és “a tartalomszervező tulajdonának, infrastruktúrájának, felszerelésének, szoftverének beleegyezése nélkül történő bármilyen szabotázs, manipuláció, visszaélés, támadás vagy felhasználás…kifejezetten tilos.”
a problémák lehetősége komoly lehet, de Thompson megnyugtatta a közvéleményt: “az orbitális rendszereink biztonsága és kiber-ellenálló képessége abszolút szükségszerű, mivel arra törekszünk, hogy biztosítsuk az űr globális közösségének békés fejlődését az elkövetkező évtizedekben. Ez számos specialitást igényelt, így a teljes szakmai kiberbiztonsági spektrum közötti partnerségek létfontosságúak a biztonságos űrrendszerek következő generációjának fejlesztéséhez.”A fehér kalapos hackerek most a csapat részét képezik a professzionális kiberbiztonsági spektrumban.
a végső Eljegyzés
a legjobb 10 selejtező a 2021 DEFCON 29 tartalmaz egy listát a színes nevek, beleértve a “OneSmallHackForMan” és a ” Poland Can into Space.”Az előfutamok összes eredményét (és valamit az egyes csapatokról) közzéteszik www.hackasat.com. A legjobb nyolc két póttaggal most részt vesz az utolsó CTF eseményen, amelyet két nap alatt terveznek, 11.December 2021-én, este 1 órakor. A visszaszámlálás napokban, órákban, percekben és másodpercekben ketyeg a HAS2 kezdőlapján.