în timpul August 2019 DEF CON 28 Convenția hacker în Las Vegas, Nev., Forțele Aeriene ale SUA au adus un sistem de date F-15 fighter-jet și au lansat un apel către oricine ar dori să încerce să pătrundă și să obțină controlul operațiunilor sale.
Echipe de hackeri și cercetători de securitate au dezmembrat unitatea și au raportat defectele de securitate din sistem în timp ce le-au descoperit. Oficialii militari au fost foarte mulțumiți de rezultatele experimentului și au decis să se întoarcă în 2020—cu un satelit.
DEF CON este una dintre cele mai mari convenții hacker, și a fost un eveniment anual în Las Vegas din iunie 1993. Atrage hackeri și profesioniști în securitatea calculatoarelor, împreună cu angajați ai guvernului federal, cercetători în securitate, jurnaliști și studenți. În 2019, Will Roper, secretar adjunct al Forțelor Aeriene pentru achiziții, tehnologie și logistică, i-a explicat lui Brian Barrett de la revista Wired de ce ramura sa a forțelor armate transporta hardware-ul avioanelor de luptă la conferință.
„trebuie să trecem peste teama noastră de a îmbrățișa experți externi pentru a ne ajuta să fim siguri. Încă mai desfășurăm proceduri de securitate cibernetică din anii 1990…. Presupunem că dacă construim lucruri în spatele ușilor închise și nimeni nu le atinge, vor fi în siguranță. Acest lucru ar putea fi adevărat într-o anumită măsură într-o lume analogică. Dar în lumea din ce în ce mai digitală, totul are software în ea.”La acest Barrett a adăugat o notă de subsol amintind cititorilor că tot software-ul are în mod inevitabil bug-uri care pot fi exploatate.
a moon SHOT
în acest an, DEF CON 29 a făcut din nou aceeași ofertă celor prezenți, actuali și virtuali, cu o altă competiție numită Hack-a-Sat 2 (HAS2). A fost înființat în același mod ca și anul trecut, cu o cerere de depunere, o rundă preliminară de calificare înainte de DEF CON în August și apoi competiția finală dintre calificări. Oricine a crezut că ar putea fi capabil să hack un satelit, sau stația de la sol, a fost invitat să se aplice.
și nu a fost doar hacker prestige care ar fi pe linie; recompensele în numerar au fost foarte atractive. Primele 10 echipe calificate au primit câte 10.000 de dolari fiecare, locul trei a primit 20.000 de dolari, al doilea 30.000 de dolari, iar premiul cel Mare în competiția finală a fost de 50.000 de dolari.
faza preliminară din iunie 2021 a avut o serie de provocări, cum ar fi probleme de rezolvat cu codificarea, găsirea de lucruri, puzzle-uri și necesitatea de a arăta un anumit control asupra sistemelor. Acest lucru va fi urmat mai târziu în an de un concurs complet DEF CON-style capture-the-flag (CTF). Evenimentul final a fost găzduit pe hardware fizic care era tipic arhitecturilor și proiectelor utilizate în sateliți reali.
Roper a descris gradul de penetrare a sistemului cu una dintre problemele care trebuie rezolvate: „ceea ce intenționăm să facem este să luăm un satelit cu o cameră, să-l îndreptăm spre Pământ și apoi să punem echipele să încerce să preia controlul asupra gimbalelor camerei și să se întoarcă spre Lună. Deci, o lovitură de lună literală.”Concurenții au trebuit să aibă cu succes satelitul să facă o fotografie a lunii și apoi să recupereze acea imagine pe computerul lor.
tot ce trebuia să aplice solicitantul era un computer pentru a se conecta printr-o rețea privată virtuală la infrastructura jocului, de preferință cu o conexiune în bandă largă. De asemenea, trebuiau să fie dispuși să fie verificați. Provocarea „Moon shot” a adus peste 2.000 de echipe formate din 6.000 de persoane care au reușit să se conecteze, să învețe și să-și testeze abilitățile. Aerotech News a raportat: „printre aceste Echipe s-au numărat cei mai buni hackeri din lume, care, în timpul rundei finale, au susținut o provocare de hacking prin satelit pe orbită care nu a mai fost făcută până acum.”
din punctul de vedere al Forțelor Aeriene, generalul locotenent John F. Thompson, pe atunci comandant al SUA. Space Force ‘s space and Missile Systems Center, a validat proiectul cu hotărârea:” primul Hack-A-Sat a fost un succes extraordinar în reunirea unui grup divers de organizații guvernamentale, comerciale și private și persoane fizice pentru a testa și dezvolta soluții de securitate cibernetică pentru rețelele noastre spațiale unice.”
Regulile
pe 4 mai 2021, cererea de la laboratorul de Cercetare al Forțelor Aeriene a fost lansată pentru provocarea din acest an. Orice echipă interesată de o competiție în două etape, cu recompense în numerar și cache semnificativ de hackeri, ar putea completa aplicația de 17 pagini, care a inclus un formular de eliberare care trebuie completat de părinți sau tutori pentru orice minori din echipa dvs., patru pagini de probleme legale care abordează în detaliu datoriile și un formular automat de casă de compensare pentru direcționarea cecurilor câștigătorilor.
Regulile Forțelor Aeriene pentru concurs oferă informații interesante despre cum să beneficiezi de cooperare fără a risca să fii cooptat în acest proces. Regulile HAS2, ca și aplicația, sunt, de asemenea, un document de 17 pagini. Acesta prezintă procedurile pentru evenimentul de calificare și formatul concursului CTF final: „evenimentul Final va fi un CTF în stil” atac/apărare ” care are loc folosind un sistem spațial simulat pentru a include o stație terestră virtualizată, un subsistem de comunicații și hardware fizic prin satelit numit flatsat.
ca un CTF de atac/apărare mai tradițional, echipele vor avea propriul sistem vulnerabil pentru a opera și apăra, în timp ce atacă sistemele identice ale echipelor opuse. Există o serie de vulnerabilități exploatabile în sisteme, iar echipele trebuie să corecteze sau să atenueze în alt mod propriile vulnerabilități pentru a se proteja de atacurile de exploatare, menținând în același timp funcționarea normală a sistemului (regula 3.1).”Sună ca o testare multidimensională, simultană de penetrare a propriului sistem și a tuturor celorlalte, și toate în timp ce organizatorii sondează în mod regulat fiecare sistem de echipă pentru răspunsuri.
regula 5.1 acoperă eligibilitatea cu premisa inițială că anumite țări vor fi excluse de la început. De asemenea, nu sunt eligibile „persoanele fizice, organizațiile sau sponsorii care sunt numiți în lista de cetățeni special desemnați a Departamentului Trezoreriei SUA.”Entitățile guvernamentale și persoanele fizice (din Statele Unite sau din orice altă țară) nu sunt eligibile, dar persoanele care acționează pe cont propriu, în afară de serviciul guvernamental sau militar, s-ar putea califica.
în secțiunea 5.4, există o listă de comportamente descalificatoare, inclusiv utilizarea anumitor instrumente de hacking (atacuri nespecifice de refuz al serviciului împotriva altor concurenți) și orice lipsă de transparență în dezvăluiri. „Nu este permisă constrângerea fizică sau intimidarea” și ” orice acte de sabotaj, manipulare, utilizare necorespunzătoare, atacuri sau utilizare fără consimțământul proprietății, infrastructurii, echipamentelor, software-ului organizatorului de conținut…sunt interzise în mod expres.”
potențialul problemelor ar putea fi grav, dar Thompson a asigurat publicul: „securitatea și rezistența cibernetică a sistemelor noastre pe orbită este o necesitate absolută, deoarece căutăm să asigurăm dezvoltarea pașnică a bunurilor comune globale ale spațiului în următoarele decenii. Acest lucru a necesitat o multitudine de specialități, astfel încât parteneriatele din întregul spectru profesional de securitate cibernetică sunt vitale pentru dezvoltarea următoarei generații de sisteme spațiale sigure.”Hackerii cu pălărie albă fac acum parte din echipa din spectrul profesional de securitate cibernetică.
angajamentul FINAL
primele 10 calificări ale DEFCON 2021 29 includ o listă de nume colorate, inclusiv „OneSmallHackForMan” și „Polonia poate în spațiu.”Toate scorurile din preliminarii (și ceva despre fiecare echipă) sunt postate pe www.hackasat.com. Primii opt cu doi supleanți se vor angaja acum în evenimentul final CTF programat pe parcursul a două zile începând cu 11 decembrie 2021, la 1 p.m. EST. Numărătoarea inversă în zile, ore, minute și secunde se bifează pe pagina de pornire HAS2.