podczas sierpniowej konwencji hackerskiej DEF CON 28 w Las Vegas, Nev., US Air Force przyniósł f-15 fighter-jet Systemu Danych i wysłać wezwanie do każdego, kto chciałby spróbować włamać się i uzyskać kontrolę nad jego operacjami.
zespoły hakerów i badaczy bezpieczeństwa rozebrały jednostkę i zgłosiły luki bezpieczeństwa w systemie, gdy je odkryli. Urzędnicy wojskowi byli bardzo zadowoleni z wyników eksperymentu i postanowili powrócić w 2020 roku—z satelitą.
DEF CON jest jednym z największych konwentów hakerskich i jest corocznym wydarzeniem w Las Vegas od czerwca 1993 roku. Przyciąga hakerów i specjalistów od bezpieczeństwa komputerowego wraz z pracownikami rządu federalnego, badaczami bezpieczeństwa, dziennikarzami i studentami. W 2019 roku Will Roper, asystent sekretarza Sił Powietrznych ds. pozyskiwania, technologii i logistyki, wyjaśnił Brianowi Barrettowi z magazynu Wired, dlaczego jego oddział sił zbrojnych przewoził sprzęt myśliwski na konferencję.
” musimy przezwyciężyć nasz strach przed przyjęciem zewnętrznych ekspertów, aby pomóc nam być bezpiecznym. Nadal prowadzimy procedury bezpieczeństwa cybernetycznego z Lat 90-tych…. Zakładamy, że jeśli zbudujemy rzeczy za zamkniętymi drzwiami i nikt ich nie dotknie, będą bezpieczne. To może być prawda do pewnego stopnia w świecie analogowym. Ale w coraz bardziej cyfrowym świecie wszystko ma oprogramowanie.”Do tego Barrett dodał przypis przypominający czytelnikom, że całe oprogramowanie nieuchronnie ma błędy, które można wykorzystać.
a moon SHOT
w tym roku DEF CON 29 po raz kolejny złożył tę samą ofertę uczestnikom, rzeczywistym i wirtualnym, z innym konkursem o nazwie Hack-a-Sat 2 (HAS2). Został on ustanowiony w taki sam sposób, jak w zeszłym roku, z zaproszeniem do składania zgłoszeń, wstępną rundą kwalifikacyjną przed DEF CON w sierpniu, a następnie ostateczną konkurencją wśród kwalifikatorów. Każdy, kto myślał, że może być w stanie zhakować satelitę lub jego stację naziemną, został zaproszony do złożenia wniosku.
i nie chodziło tylko o prestiż hakera. nagrody pieniężne były bardzo atrakcyjne. 10 najlepszych zespołów kwalifikacyjnych otrzymało po 10 000 $każda, trzecie miejsce otrzymało 20 000$, drugie 30 000$, a główna nagroda w konkursie finałowym wynosiła 50 000$.
wstępna faza w czerwcu 2021 r. miała szereg wyzwań, takich jak problemy do rozwiązania z kodowaniem, znajdowaniem rzeczy, zagadkami i koniecznością wykazania kontroli nad systemami. Później w tym samym roku odbędzie się konkurs capture-the-flag (CTF) w stylu DEF CON. Finał odbył się na sprzęcie fizycznym typowym dla architektur i projektów używanych w prawdziwych satelitach.
Roper opisał zakres penetracji systemu z jednym z problemów do rozwiązania: „planujemy zrobić to wziąć satelitę z kamerą, skierować go na ziemię, a następnie kazać zespołom przejąć kontrolę nad gimbalami kamery i skręcić w kierunku Księżyca. Dosłowny strzał na Księżyc.”Uczestnicy musieli z powodzeniem wykonać zdjęcie księżyca przez satelitę, a następnie pobrać je do komputera.
wszystko, co wnioskodawca musiał złożyć, to komputer do połączenia za pośrednictwem wirtualnej sieci prywatnej z infrastrukturą gry, najlepiej z połączeniem szerokopasmowym. Musieli też być chętni do weryfikacji. W Wyzwaniu „księżycowy strzał” wzięło udział ponad 2000 drużyn składających się z 6000 osób, które były w stanie połączyć się, nauczyć się i sprawdzić swoje umiejętności. Aerotech News donosi: „wśród tych zespołów byli najlepsi hakerzy na świecie,którzy podczas rundy finałowej walczyli o nigdy wcześniej nie ukończone na orbicie wyzwanie hakerskie dla satelitów.”
z punktu widzenia sił powietrznych, generał porucznik John F. Thompson, ówczesny dowódca USA. Space Force 's Space and Missile Systems Center, zatwierdziło projekt wyrokiem:” pierwszy Hack-a-Sat był ogromnym sukcesem w połączeniu zróżnicowanej grupy rządowych, komercyjnych i prywatnych organizacji i osób fizycznych w celu przetestowania i opracowania rozwiązań w zakresie bezpieczeństwa cybernetycznego dla naszych unikalnych sieci kosmicznych.”
Zasady
w dniu 4 maja 2021 roku została wydana aplikacja z Laboratorium Badawczego Sił Powietrznych na tegoroczne wyzwanie. Wszystkie zespoły zainteresowane dwuetapowym konkursem z nagrodami pieniężnymi i znaczącą pamięcią podręczną hakerów mogły wypełnić 17-stronicową aplikację, która zawierała formularz zwolnienia do wypełnienia przez rodziców lub opiekunów dla osób niepełnoletnich w zespole, cztery strony zagadnień prawnych dotyczących szczegółowo zobowiązań oraz zautomatyzowany formularz clearing house do przekierowywania czeków zwycięzców.
regulamin konkursu daje ciekawe spostrzeżenia na temat możliwości skorzystania ze współpracy bez ryzyka kooperacji. Zasady HAS2, podobnie jak aplikacja, są również 17-stronicowym dokumentem. Przedstawia on procedury dotyczące wydarzenia kwalifikacyjnego i format końcowego konkursu CTF: „ostatnim wydarzeniem będzie CTF w stylu „atak/obrona”, który występuje przy użyciu symulowanego systemu kosmicznego, który obejmuje zwirtualizowaną stację naziemną, podsystem komunikacyjny i fizyczny sprzęt satelitarny zwany flatsat.
podobnie jak bardziej tradycyjny atak / obrona CTF, drużyny będą miały swój własny podatny system do obsługi i obrony, podczas gdy atakują identyczne systemy przeciwnych drużyn. W systemach istnieje wiele możliwych do wykorzystania luk, a zespoły muszą łatać lub w inny sposób łagodzić własne luki, aby chronić je przed atakami wykorzystującymi, przy jednoczesnym zachowaniu normalnego funkcjonowania systemu (zasada 3.1).”Brzmi to jak wielowymiarowe, jednoczesne testy penetracyjne własnego systemu i wszystkich innych, a wszystko to podczas gdy organizatorzy regularnie przepytują każdy system drużynowy o odpowiedzi.
przepis 5.1 obejmuje kwalifikowalność z założeniem otwarcia, że niektóre kraje zostaną wykluczone z startu. Nie kwalifikują się również „osoby, organizacje lub sponsorzy wymienieni na specjalnie wyznaczonej liście obywateli Departamentu Skarbu USA.”Jednostki rządowe i osoby fizyczne (ze Stanów Zjednoczonych lub jakiegokolwiek innego kraju) nie kwalifikują się, ale mogą kwalifikować się osoby działające samodzielnie poza służbą rządową lub wojskową.
w sekcji 5.4 znajduje się lista zachowań dyskwalifikujących, w tym użycie niektórych narzędzi hakerskich (niespecyficzne ataki typu odmowa usługi przeciwko innym konkurentom) i brak przejrzystości w ujawnianiu informacji. „Nie jest dozwolony fizyczny przymus ani zastraszanie”, a ” wszelkie akty sabotażu, manipulacji, niewłaściwego użycia, ataków lub korzystania bez zgody własności, infrastruktury, sprzętu, oprogramowania organizatora…są wyraźnie zabronione.”
potencjalne problemy mogą być poważne, ale Thompson zapewnił opinię publiczną: „Bezpieczeństwo i cyberbezpieczeństwo naszych systemów na orbicie jest absolutną koniecznością, ponieważ staramy się zapewnić pokojowy rozwój globalnych dóbr wspólnych przestrzeni kosmicznej w nadchodzących dziesięcioleciach. Wymagało to wielu specjalizacji, więc partnerstwo w całym spektrum profesjonalnego cyberbezpieczeństwa jest niezbędne do opracowania nowej generacji bezpiecznych systemów kosmicznych.”Hakerzy White-hat są teraz częścią zespołu w profesjonalnym spektrum cyberbezpieczeństwa.
Ostatnie zaręczyny
10 najlepszych kwalifikacji DEFCON 29 2021 zawiera listę kolorowych nazwisk, w tym” OneSmallHackForMan „i” Poland Can Into Space.”Wszystkie wyniki w eliminacjach (i coś o każdej drużynie) zamieszczamy na www.hackasat.com. Najlepsza ósemka z dwoma zastępcami weźmie teraz udział w finałowym wydarzeniu CTF zaplanowanym na dwa dni począwszy od grudnia 11, 2021, o godzinie 13: 00 EST. Odliczanie dni, godzin, minut i sekund tyka na stronie głównej HAS2.