I løpet av AUGUST 2019 DEF CON 28 hacker konvensjonen I Las Vegas, Nev. us Air Force brakte Et F-15 fighter-jet data system og sette ut en samtale til alle som ønsker å prøve å hacke seg inn og få kontroll over sine operasjoner.
Team av hackere og sikkerhetsforskere tok enheten fra hverandre og rapporterte sikkerhetsfeil i systemet som de avdekket dem. De militære tjenestemenn var veldig fornøyd med resultatene av forsøket, og de bestemte seg for å gå tilbake i 2020-med en satellitt.
DEF CON ER en av de største hackerkonvensjonene, og DET har vært en årlig begivenhet i Las Vegas siden juni 1993. Det tiltrekker seg hackere og datasikkerhetspersonell sammen med føderale regjeringsansatte, sikkerhetsforskere, journalister og studenter. I 2019 forklarte Will Roper, assisterende sekretær For Luftvåpenet for oppkjøp, teknologi og logistikk, Til Brian Barrett fra Wired magazine hvorfor hans gren av de væpnede styrkene trakk fighter-jet-maskinvare til konferansen.
» vi må komme over vår frykt for å omfavne eksterne eksperter for å hjelpe oss å være sikre. Vi har fortsatt cybersikkerhetsprosedyrer fra 1990-tallet. Vi antar at hvis vi bygger ting bak lukkede dører og ingen berører dem, vil de være sikre. Det kan være sant til en viss grad i en analog verden. Men i den stadig mer digitale verden har alt programvare i den.»Til Dette La Barrett til en fotnote som minner leserne om at all programvare uunngåelig har feil som kan utnyttes.
ET MÅNESKUDD
I år gjorde DEF CON 29 igjen det samme tilbudet til de som deltok, faktisk og virtuelt, med en annen konkurranse kalt Hack-A-Sat 2 (HAS2). Det ble satt opp på samme måte som i fjor med en utlysning for innleveringer, en foreløpig kvalifiseringsrunde før DEF CON i August, og deretter den endelige konkurransen blant kvalifiseringene. Alle som trodde de kunne hacke en satellitt, eller bakkestasjonen, ble invitert til å søke.
Og det var ikke bare hacker prestige som ville være på linjen; kontantbelønningene var veldig attraktive. De 10 beste kvalifiserende lagene ble tildelt $10 000 hver, tredje plass mottok $20 000, andre $ 30 000, og toppprisen i den endelige konkurransen var $50 000.
den foreløpige fasen i juni 2021 hadde en rekke utfordringer som problemer som skulle løses med koding, finne ting, puslespill og behovet for å vise litt kontroll over systemene. Det ville bli fulgt senere på året av EN ALL-out DEF CON-style capture-the-flag (CTF) konkurranse. Den endelige hendelsen ble arrangert på fysisk maskinvare som var typisk for arkitekturer og design som brukes i ekte satellitter.
Roper beskrev omfanget av systeminntrengningen med et av problemene som skal løses: «det vi planlegger å gjøre er å ta en satellitt med et kamera, få det til å peke på Jorden, og så få lagene til å ta over kontrollen over kameraets gimbals og vende mot månen. Så, et bokstavelig måneskudd.»Deltakerne måtte lykkes med å få satellitten til å ta et bilde av månen og deretter hente det bildet til datamaskinen.
alt søkeren trengte å søke var en datamaskin for å koble via et virtuelt privat nettverk til spillinfrastrukturen, helst med bredbåndstilkobling. De måtte også være villige til å bli vetted. «Moon shot» – utfordringen landet mer enn 2000 lag bestående av 6000 personer som var i stand til å koble til, lære og teste sine ferdigheter. Aerotech News rapporterte: «blant disse lagene var verdens beste hackere, som i løpet av siste runde kjempet for en aldri blitt gjort før satellitthackingutfordring.»
Fra synspunkt Av Luftforsvaret, Generalløytnant John F. Thompson, daværende sjef FOR USA Space Forces Space and Missile Systems Center, validerte prosjektet med dommen, «Den første Hack-A-Sat var en enorm suksess i å bringe sammen en mangfoldig gruppe myndigheter, kommersielle og private organisasjoner og enkeltpersoner for å teste og utvikle cybersikkerhetsløsninger for våre unike romnettverk.»
REGLENE
4. Mai 2021 ble søknaden fra Air Force Research Laboratory utgitt for årets utfordring. Eventuelle lag som er interessert i en to-trinns konkurranse med kontantbelønninger og betydelig hackerbuffer, kan fylle ut 17-siders søknaden, som inkluderte et utgivelsesskjema som skal fylles ut av foreldre eller foresatte for mindreårige på laget ditt, fire sider med juridiske problemer som adresserer forpliktelser i detalj, og et automatisert clearinghusskjema for ruting av vinnerens sjekker.
Luftvåpenets regler for konkurransen gir interessant innsikt i hvordan man kan dra nytte av samarbeid uten å risikere å bli med i prosessen. HAS2-Reglene, som søknaden, er også et 17-siders dokument. Den skisserer prosedyrene for kvalifiseringsarrangementet og formatet for den endelige CTF-konkurransen :» Den Endelige Hendelsen vil være EN «attack/defend» – STIL CTF som oppstår ved bruk av et simulert romsystem for å inkludere en virtualisert bakkestasjon, et kommunikasjons-delsystem og fysisk satellittmaskinvare kalt en flatsat.
som et mer tradisjonelt angrep/forsvar CTF, vil lagene ha sitt eget sårbare system for å operere og forsvare, mens de angriper motstandernes identiske systemer. Det finnes en rekke utnyttbare sårbarheter i systemene, og teamene må lappe eller på annen måte redusere sine egne sårbarheter for å beskytte mot utnyttelsesangrep, samtidig som systemet fungerer normalt (Regel 3.1).»Det høres ut som en flerdimensjonal, samtidig penetrasjonstesting av ditt eget system og alle de andre, og alt mens arrangørene regelmessig poller hvert lagsystem for svarene.
Regel 5.1 dekker kvalifikasjon med en åpning premiss at enkelte land vil bli ekskludert fra starten. Også ikke kvalifisert Er «Enkeltpersoner, organisasjoner eller sponsorer som er navngitt I Specially Designated Nationals liste OVER US Department of Treasury.»Statlige enheter og enkeltpersoner (Fra Usa eller et annet land) er ikke kvalifisert, men enkeltpersoner som handler på egen hånd, bortsett fra regjering eller militærtjeneste, kan kvalifisere.
I Avsnitt 5.4 er det en liste over diskvalifiserende atferd, inkludert bruk av visse hackingsverktøy (ikke-spesifikke tjenestenektangrep mot andre konkurrenter) og manglende åpenhet i avsløringer. «Ingen fysisk tvang eller trusler er tillatt,» og » enhver handling av sabotasje, manipulering, misbruk, angrep eller bruk uten samtykke fra innholdsarrangørens eiendom, infrastruktur, utstyr, programvare…er uttrykkelig forbudt.»
potensialet for problemer kan være alvorlig, Men Thompson beroliget publikum: «sikkerheten og cyber-robustheten til våre on-orbit-systemer er en absolutt nødvendighet når vi ser for å sikre den fredelige utviklingen av den globale allmenningen i løpet av de kommende tiårene. Dette krevde en rekke spesialiteter, så partnerskap på tvers av hele det profesjonelle cybersikkerhetsspekteret er avgjørende for å utvikle neste generasjon sikre romsystemer.»White-hat hackere er nå en del av teamet i det profesjonelle cybersikkerhetsspekteret.
DET ENDELIGE ENGASJEMENTET
de 10 beste kvalifiseringene I 2021 DEFCON 29 inkluderer en liste over fargerike navn, inkludert «OneSmallHackForMan» og » Poland Can Into Space.»Alle poeng i forberedelsene (og noe om hvert lag) er lagt ut på www.hackasat.com. De øverste åtte med to varamedlemmer vil nå delta i den endelige CTF-hendelsen planlagt over to dager som begynner 11. desember 2021, kl 1 pm EST. Nedtellingen i dager, timer, minutter og sekunder tikker av PÅ HAS2 hjemmesiden.
