tijdens de augustus 2019 DEF CON 28 hacker conventie in Las Vegas, Nev. de Amerikaanse luchtmacht bracht een F-15 fighter-jet data systeem en stuurde een oproep naar iedereen die zou willen proberen te hacken en de controle over zijn operaties te krijgen.
Teams van hackers en security onderzoekers nam de eenheid uit elkaar en meldde de beveiligingsfouten in het systeem als ze ze ontdekt. De militaire ambtenaren waren erg blij met de resultaten van het experiment, en ze besloten om terug te keren in 2020—met een satelliet.DEF CON is een van de grootste hackerconventies en is sinds juni 1993 een jaarlijks evenement in Las Vegas. Het trekt hackers en computer security professionals samen met federale overheid medewerkers, security onderzoekers, journalisten en studenten. In 2019 legde Will Roper, adjunct-secretaris van de luchtmacht voor acquisitie, technologie en logistiek, aan Brian Barrett van Wired magazine uit waarom zijn tak van de strijdkrachten fighter-jet hardware naar de conferentie vervoerde.
” we moeten onze angst overwinnen om Externe deskundigen in te schakelen om ons te helpen veilig te zijn. We zijn nog steeds met cybersecurity procedures uit de jaren 1990…. We gaan ervan uit dat als we dingen achter gesloten deuren bouwen en niemand ze aanraakt, ze veilig zijn. Dat kan tot op zekere hoogte waar zijn in een analoge wereld. Maar in de steeds digitaler wordende wereld heeft alles software.”Aan deze Barrett toegevoegd een voetnoot herinneren lezers dat alle software onvermijdelijk bugs die kunnen worden uitgebuit.
een maanschot
dit jaar deed DEF CON 29 opnieuw hetzelfde aanbod aan deelnemers, feitelijk en virtueel, met een andere wedstrijd genaamd Hack-A-Sat 2 (HAS2). Het werd opgezet op dezelfde manier als vorig jaar met een oproep voor inzendingen, een voorlopige kwalificatie ronde voor DEF CON in Augustus, en vervolgens de laatste wedstrijd onder de qualifiers. Iedereen die dacht een satelliet of het grondstation te kunnen hacken, werd uitgenodigd om zich aan te melden.
en het was niet alleen hacker prestige dat op het spel zou staan; de cash beloningen waren zeer aantrekkelijk. De top 10 kwalificerende teams werden beloond met $ 10.000 elk, derde plaats ontvangen $ 20.000, tweede $30.000, en de hoofdprijs in de laatste wedstrijd was $50.000.
de voorbereidende fase in juni 2021 had een reeks uitdagingen zoals problemen die moesten worden opgelost met coderen, het vinden van dingen, puzzels en de noodzaak om enige controle over de systemen te tonen. Dat zou later in het jaar worden gevolgd door een All-out DEF CON-style capture-the-flag (CTF) wedstrijd. Het laatste evenement werd gehost op fysieke hardware die typerend was voor de architecturen en ontwerpen die in echte satellieten worden gebruikt.Roper beschreef de omvang van het systeem penetratie met een van de problemen op te lossen: “wat we van plan zijn te doen is het nemen van een satelliet met een camera, hebben het gericht op de aarde, en dan hebben de teams proberen over te nemen controle van de camera gimbals en draaien naar de maan. Dus, een letterlijk maanschot.”De deelnemers moesten de satelliet met succes een foto van de maan laten maken en die foto vervolgens op hun computer laten ophalen.
de aanvrager hoefde alleen een computer aan te vragen om via een virtueel privénetwerk verbinding te maken met de spelinfrastructuur, bij voorkeur met een breedbandverbinding. Ze moesten ook bereid zijn om doorgelicht te worden. De “moon shot” challenge landde meer dan 2.000 teams bestaande uit 6.000 individuen die in staat waren om verbinding te maken, te leren en hun vaardigheden te testen. Aerotech News gemeld, “onder deze teams waren’ s werelds beste hackers, die, tijdens de laatste ronde, pleitte voor een nooit-gedaan-eerder on-orbit satelliet hacken uitdaging.”
vanuit het oogpunt van de luchtmacht, Lt. generaal John F. Thompson, toenmalig commandant van de U. S. Space Force ‘ s Space and Missile Systems Center, gevalideerd het project met het oordeel, “de eerste Hack-A-Sat was een enorm succes in het samenbrengen van een diverse groep van de overheid, commerciële, en particuliere organisaties en individuen om te testen en te ontwikkelen cybersecurity oplossingen voor onze unieke ruimte netwerken.”
the RULES
op 4 mei 2021 werd de aanvraag van het Air Force Research Laboratory vrijgegeven voor de challenge van dit jaar. Alle teams die geïnteresseerd zijn in een wedstrijd in twee fasen met geldbeloningen en belangrijke hacker cache kan de 17-pagina’ s applicatie, die een release formulier in te vullen door ouders of voogden voor alle minderjarigen in uw team, vier pagina ’s van juridische kwesties aanpakken aansprakelijkheid in detail, en een geautomatiseerd clearing house formulier voor het routeren van de controles van de winnaars’ opgenomen.
de regels van de luchtmacht voor de wedstrijd bieden interessante inzichten over hoe u kunt profiteren van samenwerking zonder het risico te lopen dat u wordt gecoöpteerd in het proces. De HAS2 regels, net als de applicatie, is ook een 17 pagina ‘ s tellend document. Het schetst de procedures voor het kwalificatieevenement en het formaat voor de finale CTF-wedstrijd: “Het Laatste evenement zal een ‘attack/defend’ – stijl CTF zijn die plaatsvindt met behulp van een gesimuleerd ruimtesysteem om een gevirtualiseerd grondstation, een communicatiesubsysteem en fysieke satelliethardware te bevatten die een flatsat wordt genoemd.
net als een meer traditionele attack/defend CTF, zullen teams hun eigen kwetsbare systeem hebben om te opereren en te verdedigen, terwijl ze de identieke systemen van de andere teams aanvallen. Er bestaan een aantal exploiteerbare kwetsbaarheden in de systemen en teams moeten hun eigen kwetsbaarheden patchen of anderszins beperken om te beschermen tegen exploitatieaanvallen, terwijl het systeem normaal blijft functioneren (regel 3.1).”Het klinkt als een multidimensionale, gelijktijdige penetratietest van je eigen systeem en alle anderen, en dat terwijl de organisatoren regelmatig elk teamsysteem voor de reacties ondervragen.
regel 5.1 heeft betrekking op de subsidiabiliteit met als uitgangspunt dat bepaalde landen vanaf het begin zullen worden uitgesloten. Ook niet in aanmerking komen zijn “individuen, organisaties of sponsors die zijn genoemd in de Speciaal Aangewezen Nationals lijst van het Amerikaanse Ministerie van Financiën.”Overheidsentiteiten en individuen (uit de Verenigde Staten of een ander land) komen niet in aanmerking, maar individuen die op hun eigen, afgezien van de overheid of militaire dienst kunnen in aanmerking komen.
in paragraaf 5.4 is er een lijst van diskwalificerend gedrag, waaronder het gebruik van bepaalde hacking-tools (niet-specifieke denial of service-aanvallen tegen andere concurrenten) en elk gebrek aan transparantie in de onthullingen. “Geen fysieke dwang of intimidatie is toegestaan,” en “alle daden van sabotage, manipulatie, misbruik, aanvallen, of gebruik zonder toestemming van de inhoud organisator’ s eigendom, infrastructuur, apparatuur, software…zijn uitdrukkelijk verboden.”
het potentieel voor problemen kan ernstig zijn, maar Thompson stelde het publiek gerust: “de veiligheid en cyber-veerkracht van onze on-orbit systemen is een absolute noodzaak als we kijken naar de vreedzame ontwikkeling van de wereldwijde commons of space in de komende decennia. Dit vereiste een veelheid aan specialismen, dus partnerschappen over het gehele professionele cybersecurity spectrum zijn van vitaal belang voor de ontwikkeling van de volgende generatie veilige ruimtesystemen.”White-hat hackers maken nu deel uit van het team in het professionele cybersecurity spectrum.
de laatste opdracht
de top 10 qualifiers van de 2021 DEFCON 29 omvatten een lijst van kleurrijke namen, waaronder “Onesmalhackforman” en ” Polen kan de ruimte in.”Alle scores in de voorrondes (en iets over elk team) zijn geplaatst op www.hackasat.com. De top acht met twee plaatsvervangers zal nu deelnemen aan de laatste CTF evenement gepland over twee dagen, beginnend op 11 December 2021, om 13: 00 EST. Het aftellen in dagen, uren, minuten en seconden tikt af op de HAS2 startpagina.