Durante o mês de agosto de 2019 DEF CON 28 hacker convenção em Las Vegas, Nev. a Força Aérea dos EUA trouxe um sistema de dados de caças F-15 e lançou uma chamada para qualquer um que gostaria de tentar invadir e obter o controle de suas operações.
equipes de hackers e pesquisadores de segurança desmontaram a unidade e relataram as falhas de segurança no sistema ao descobri-las. Os oficiais militares ficaram muito felizes com os resultados do experimento e decidiram retornar em 2020—com um satélite.DEF CON é uma das maiores convenções de hackers, e tem sido um evento anual em Las Vegas desde junho de 1993. Atrai hackers e profissionais de segurança de computadores, juntamente com funcionários do governo federal, pesquisadores de segurança, jornalistas e estudantes. Em 2019, Will Roper, secretário adjunto da Força Aérea para Aquisição, Tecnologia e logística, explicou a Brian Barrett da Revista Wired por que seu ramo das Forças Armadas estava transportando hardware de Caça à conferência.
“temos que superar nosso medo de abraçar especialistas externos para nos ajudar a estar seguros. Ainda estamos realizando procedimentos de segurança cibernética a partir da década de 1990…. Presumimos que, se construirmos coisas a portas fechadas e ninguém as tocar, elas estarão seguras. Isso pode ser verdade até certo ponto em um mundo analógico. Mas no mundo cada vez mais digital, tudo tem software nele.”Para isso, Barrett acrescentou uma nota de rodapé lembrando aos leitores que todo o software inevitavelmente tem bugs que podem ser explorados.
a moon SHOT
este ano, a DEF CON 29 mais uma vez fez a mesma oferta aos participantes, reais e virtuais, com outra competição chamada Hack-A-Sat 2 (HAS2). Foi criado da mesma forma que no ano passado com uma chamada para inscrições, uma rodada de qualificação preliminar antes do DEF CON em agosto e, em seguida, a competição final entre as eliminatórias. Qualquer um que pensasse que poderia ser capaz de hackear um satélite, ou sua estação terrestre, foi convidado a se inscrever.
e não era apenas o hacker prestige que estaria em jogo; as recompensas em dinheiro eram muito atraentes. As 10 melhores equipes qualificadas receberam US $ 10.000 cada, o terceiro lugar recebeu US $20.000, o segundo US $30.000 e o prêmio máximo na competição final foi de US $50.000.A fase preliminar em junho de 2021 teve uma série de desafios, como problemas a serem resolvidos com codificação, encontrar coisas, quebra-cabeças e a necessidade de mostrar algum controle sobre os sistemas. Isso seria seguido no final do ano por um concurso All-out DEF CON-style capture-the-flag (CTF). O evento final foi realizado em hardware físico típico das arquiteturas e projetos usados em satélites reais.Roper descreveu a extensão da penetração do sistema com um dos problemas a serem resolvidos: “o que estamos planejando fazer é pegar um satélite com uma câmera, apontá-lo para a terra e, em seguida, fazer com que as equipes tentem assumir o controle dos Cardan da câmera e se voltem para a lua. Então, um tiro literal na lua.”Os competidores tiveram que fazer com que o satélite tirasse uma foto da lua e depois recuperasse essa imagem em seu computador.
todo o candidato necessário para se inscrever era um computador para se conectar através de uma rede privada virtual à infraestrutura do jogo, de preferência com uma conexão de banda larga. Eles também tinham que estar dispostos a ser examinados. O desafio “Moon shot” recebeu mais de 2.000 equipes compostas por 6.000 indivíduos que foram capazes de se conectar, aprender e testar suas habilidades. A Aerotech News informou: “entre essas equipes estavam os melhores hackers do mundo, que, durante a rodada final, defenderam um desafio de hacking de satélite nunca antes feito em órbita.”
do ponto de vista da Força Aérea, o tenente-General John F. Thompson, então comandante dos EUA. O centro de sistemas espaciais e de mísseis da Força Espacial, validou o projeto com o julgamento, ” o primeiro Hack-A-Sat foi um tremendo sucesso em reunir um grupo diversificado de organizações e indivíduos governamentais, comerciais e privados para testar e desenvolver soluções de segurança cibernética para nossas redes espaciais exclusivas.”
as regras
em 4 de Maio de 2021, o aplicativo do Laboratório de pesquisa da Força Aérea foi lançado para o desafio deste ano. Qualquer equipe interessada em uma competição de duas etapas com recompensas em dinheiro e cache de hackers significativo poderia preencher o aplicativo de 17 páginas, que incluía um formulário de lançamento a ser preenchido pelos pais ou responsáveis por quaisquer menores de sua equipe, quatro páginas de questões legais abordando responsabilidades em detalhes e um formulário de câmara de compensação automatizada para rotear os cheques dos vencedores.
as regras da Força Aérea para o concurso oferecem insights interessantes sobre como se beneficiar da cooperação sem correr o risco de ser cooptado no processo. As regras HAS2, como o aplicativo, também são um documento de 17 páginas. Ele descreve os procedimentos para o evento de qualificação e o formato para o concurso CTF final: “o evento Final será um CTF no estilo ‘attack/defend’ que ocorre usando um sistema espacial simulado para incluir uma estação terrestre virtualizada, um subsistema de comunicações e hardware de satélite físico chamado flatsat.Como um ataque/defesa mais tradicional da CTF, as equipes terão seu próprio sistema vulnerável para operar e defender, enquanto atacam os sistemas idênticos das equipes opostas. Existem várias vulnerabilidades exploráveis nos sistemas e as equipes devem corrigir ou mitigar suas próprias vulnerabilidades para proteger contra ataques de exploração, mantendo o sistema funcionando normalmente (Regra 3.1).”Parece um teste de penetração multidimensional e simultâneo de seu próprio sistema e de todos os outros, e enquanto os organizadores estão regularmente pesquisando cada sistema de equipe para as respostas.
a regra 5.1 abrange a elegibilidade com uma premissa inicial de que certos países serão excluídos desde o início. Também não são elegíveis “indivíduos, organizações ou patrocinadores que são nomeados na lista de nacionais Especialmente Designados do Departamento do Tesouro dos EUA.”Entidades governamentais e indivíduos (dos Estados Unidos ou de qualquer outro país) não são elegíveis, mas indivíduos agindo por conta própria, além do governo ou do serviço militar, podem se qualificar.
na Seção 5.4, há uma lista de comportamentos desqualificantes, incluindo o uso de certas ferramentas de hacking (ataques inespecíficos de negação de Serviço contra outros concorrentes) e qualquer falta de transparência nas divulgações. “Nenhuma coerção física ou intimidação é permitida” e ” quaisquer atos de sabotagem, adulteração, uso indevido, ataques ou uso sem consentimento da propriedade, infraestrutura, equipamento, software do organizador de conteúdo…são expressamente proibidos.”O potencial de problemas pode ser sério, mas Thompson assegurou ao público:” a segurança e a ciber-resiliência de nossos sistemas em órbita é uma necessidade absoluta, pois procuramos garantir o desenvolvimento pacífico dos bens comuns globais do espaço nas próximas décadas. Isso exigiu uma infinidade de especialidades, portanto, parcerias em todo o espectro de segurança cibernética profissional são vitais para o desenvolvimento da próxima geração de sistemas espaciais seguros.”Os hackers de chapéu branco agora fazem parte da equipe no espectro profissional de segurança cibernética.
o compromisso FINAL
as 10 melhores eliminatórias do 2021 DEFCON 29 incluem uma lista de nomes coloridos, incluindo “OneSmallHackForMan” e ” Poland Can Into Space.”Todas as pontuações nas preliminares (e algo sobre cada equipe) são postadas em www.hackasat.com. Os oito primeiros com dois suplentes agora se envolverão no evento final da CTF agendado para dois dias a partir de 11 de dezembro de 2021, às 13h EST. A contagem regressiva em dias, horas, minutos e segundos está marcando na página inicial do HAS2.
