Durante l’agosto 2019 DEF CON 28 hacker convention a Las Vegas, Nev., la U. S. Air Force ha portato un sistema di dati di caccia-getto di F-15 ed ha messo fuori una chiamata a qualsiasi chi vorrebbe provare ad hackerare ed ottenere il controllo delle sue operazioni.
Squadre di hacker e ricercatori di sicurezza hanno preso l’unità a parte e hanno segnalato le falle di sicurezza nel sistema mentre li hanno scoperti. I funzionari militari erano molto contenti dei risultati dell’esperimento e decisero di tornare nel 2020—con un satellite.
DEF CON è una delle più grandi convenzioni hacker, ed è stato un evento annuale a Las Vegas dal giugno 1993. Attrae hacker e professionisti della sicurezza informatica insieme a dipendenti del governo federale, ricercatori di sicurezza, giornalisti e studenti. Nel 2019, Will Roper, assistente segretario dell’Air Force per l’acquisizione, la tecnologia e la logistica, ha spiegato a Brian Barrett della rivista Wired perché il suo ramo delle forze armate stava trasportando hardware da caccia alla conferenza.
“Dobbiamo superare la nostra paura di abbracciare esperti esterni per aiutarci a essere sicuri. Stiamo ancora portando le procedure di sicurezza informatica dal 1990…. Presumiamo che se costruiamo le cose a porte chiuse e nessuno le tocca, saranno al sicuro. Questo potrebbe essere vero in una certa misura in un mondo analogico. Ma nel mondo sempre più digitale, tutto ha software in esso.”A questo Barrett ha aggiunto una nota a piè di pagina ricordando ai lettori che tutto il software ha inevitabilmente bug che possono essere sfruttati.
A MOON SHOT
Quest’anno, DEF CON 29 ha fatto ancora una volta la stessa offerta ai partecipanti, reali e virtuali, con un altro concorso chiamato Hack-A-Sat 2 (HAS2). È stato istituito allo stesso modo dell’anno scorso con un invito a presentare proposte, un turno preliminare di qualificazione prima del DEF CON in agosto e poi la competizione finale tra le qualificazioni. Chiunque pensasse di essere in grado di hackerare un satellite, o la sua stazione di terra, è stato invitato a fare domanda.
E non era solo hacker prestige che sarebbe stato sulla linea; i premi in denaro erano molto attraenti. Le prime 10 squadre qualificate hanno ricevuto each 10.000 ciascuna, il terzo posto ha ricevuto $20.000, il secondo $30.000 e il primo premio nella competizione finale è stato $50.000.
La fase preliminare di giugno 2021 ha avuto una serie di sfide come problemi da risolvere con la codifica, trovare cose, enigmi e la necessità di mostrare un certo controllo sui sistemi. Che sarebbe seguito nel corso dell’anno da un all-out DEF CON-style capture-the-flag (CTF) contest. L’evento finale è stato ospitato su hardware fisico tipico delle architetture e dei progetti utilizzati nei satelliti reali.
Roper ha descritto l’entità della penetrazione del sistema con uno dei problemi da risolvere: “Quello che stiamo progettando di fare è prendere un satellite con una telecamera, farlo puntare verso la Terra, e poi avere le squadre cercano di prendere il controllo dei giunti cardanici della fotocamera e girare verso la luna. Quindi, un colpo di luna letterale.”I concorrenti hanno dovuto avere con successo il satellite scattare una foto della luna e poi recuperare quell’immagine al loro computer.
Tutto ciò che il richiedente doveva applicare era un computer per connettersi attraverso una rete privata virtuale all’infrastruttura di gioco, preferibilmente con una connessione a banda larga. Dovevano anche essere disposti a essere controllati. La sfida “colpo di luna” ha atterrato più di 2.000 squadre composte da 6.000 individui che sono stati in grado di connettersi, imparare e testare le proprie abilità. Aerotech News ha riferito: “Tra queste squadre c’erano i migliori hacker del mondo, che, durante il round finale, hanno sostenuto una sfida di hacking satellitare mai fatta prima in orbita.”
Dal punto di vista dell’Air Force, il tenente generale John F. Thompson, allora comandante degli Stati Uniti. Space Force Space and Missile Systems Center, ha convalidato il progetto con il giudizio, ” Il primo Hack-A-Sat è stato un enorme successo nel riunire un gruppo eterogeneo di organizzazioni governative, commerciali e private e individui per testare e sviluppare soluzioni di sicurezza informatica per le nostre reti spaziali uniche.”
LE REGOLE
Il 4 maggio 2021, l’applicazione dell’Air Force Research Laboratory è stata rilasciata per la sfida di quest’anno. Tutte le squadre interessate a una competizione in due fasi con premi in denaro e cache hacker significativa potrebbero compilare l’applicazione di 17 pagine, che includeva un modulo di rilascio da compilare da genitori o tutori per eventuali minori della tua squadra, quattro pagine di questioni legali che affrontano le responsabilità in dettaglio e un modulo di stanza di compensazione automatica per
Le regole dell’Aeronautica Militare per il concorso offrono interessanti spunti su come beneficiare della cooperazione senza rischiare di essere cooptati nel processo. Le regole HAS2, come l’applicazione, è anche un documento di 17 pagine. Delinea le procedure per l’evento di qualificazione e il formato per il concorso CTF finale: “L’evento finale sarà un CTF in stile” attacco/difesa ” che si verifica utilizzando un sistema spaziale simulato per includere una stazione di terra virtualizzata, un sottosistema di comunicazione e hardware satellitare fisico chiamato flatsat.
Come un CTF attacco/difesa più tradizionale, le squadre avranno il proprio sistema vulnerabile per operare e difendere, mentre attaccano i sistemi identici delle squadre avversarie. Un certo numero di vulnerabilità sfruttabili esiste nei sistemi e i team devono patchare o mitigare in altro modo le proprie vulnerabilità per proteggere dagli attacchi di sfruttamento, mantenendo il sistema funzionante normalmente (Regola 3.1).”Sembra un test di penetrazione multidimensionale e simultaneo del tuo sistema e di tutti gli altri, e tutto mentre gli organizzatori stanno regolarmente interrogando ogni sistema di squadra per le risposte.
La regola 5.1 riguarda l’ammissibilità con la premessa iniziale che alcuni paesi saranno esclusi dall’inizio. Inoltre, non sono ammissibili ” Individui, organizzazioni o sponsor che sono nominati nell’elenco dei cittadini appositamente designati del Dipartimento del Tesoro degli Stati Uniti.”Le entità governative e gli individui (dagli Stati Uniti o da qualsiasi altro paese) non sono ammissibili, ma gli individui che agiscono da soli a parte il governo o il servizio militare potrebbero qualificarsi.
Nella Sezione 5.4, c’è un elenco di comportamenti squalificanti tra cui l’uso di alcuni strumenti di hacking (attacchi denial of service non specifici contro altri concorrenti) e qualsiasi mancanza di trasparenza nelle informative. “Non è consentita alcuna coercizione fisica o intimidazione” e ” Qualsiasi atto di sabotaggio, manomissione, uso improprio, attacchi o utilizzo senza il consenso della proprietà, dell’infrastruttura, delle attrezzature, del software dell’organizzatore del contenuto are è espressamente vietato.”
Il potenziale di problemi potrebbe essere serio, ma Thompson ha rassicurato il pubblico: “La sicurezza e la cyber-resilienza dei nostri sistemi in orbita è una necessità assoluta mentre cerchiamo di garantire lo sviluppo pacifico dei beni comuni globali dello spazio nei prossimi decenni. Ciò ha richiesto una moltitudine di specialità, quindi le partnership su tutto lo spettro della sicurezza informatica professionale sono vitali per sviluppare la prossima generazione di sistemi spaziali sicuri.”Gli hacker white-hat sono ora parte del team nello spettro della sicurezza informatica professionale.
L’IMPEGNO FINALE
Le prime 10 qualificazioni del DEFCON 2021 29 includono un elenco di nomi colorati tra cui “OneSmallHackForMan” e ” La Polonia può nello spazio.”Tutti i punteggi nei preliminari (e qualcosa su ogni squadra) sono pubblicati su www.hackasat.com. I primi otto con due alternati saranno ora impegnati nell’evento CTF finale in programma su due giorni a partire da dicembre 11, 2021, a 1 p. m. EST. Il conto alla rovescia in giorni, ore, minuti e secondi sta spuntando sulla home page HAS2.