under augusti 2019 DEF CON 28 hacker convention i Las Vegas, Nev., tog det amerikanska flygvapnet ett F-15 fighter-jet-datasystem och ringde ut ett samtal till alla som vill försöka hacka in och få kontroll över sin verksamhet.
team av hackare och säkerhetsforskare tog enheten isär och rapporterade säkerhetsbristerna i systemet när de avslöjade dem. Militärtjänstemännen var mycket nöjda med resultaten av experimentet och de bestämde sig för att återvända 2020—med en satellit.
DEF CON är en av de största hacker konventioner, och det har varit en årlig händelse i Las Vegas sedan juni 1993. Det lockar hackare och datasäkerhetspersonal tillsammans med federala regeringsanställda, säkerhetsforskare, journalister och studenter. År 2019 förklarade Will Roper, biträdande sekreterare för Flygvapnet för förvärv, teknik och logistik, för Brian Barrett från tidningen Wired varför hans gren av de väpnade styrkorna drog fighter-jet-hårdvara till konferensen.
” vi måste komma över vår rädsla för att omfamna externa experter för att hjälpa oss att vara säkra. Vi bär fortfarande cybersäkerhetsprocedurer från 1990-talet…. Vi antar att om vi bygger saker bakom stängda dörrar och ingen rör dem, kommer de att vara säkra. Det kan vara sant till viss del i en analog Värld. Men i den alltmer digitala världen har allt programvara i sig.”Till detta lade Barrett till en fotnot som påminde läsarna om att all programvara oundvikligen har buggar som kan utnyttjas.
ett MÅNSKOTT
i år gjorde DEF CON 29 återigen samma erbjudande till de som deltog, faktiska och virtuella, med en annan tävling som heter Hack-A-Sat 2 (HAS2). Det inrättades på samma sätt som förra året med en inbjudan till inlagor, en preliminär kvalificeringsrunda före DEF CON i augusti och sedan den slutliga tävlingen bland kvalet. Den som trodde att de skulle kunna hacka en satellit eller dess markstation, blev inbjuden att ansöka.
och det var inte bara hacker prestige som skulle vara på linjen; kontantbelöningarna var mycket attraktiva. De 10 bästa kvalificerade lagen tilldelades $10 000 vardera, tredje plats fick $20 000, andra $30 000 och topppriset i den slutliga tävlingen var $ 50 000.
den inledande fasen i juni 2021 hade en rad utmaningar som problem att lösa med kodning, hitta saker, pussel och behovet av att visa viss kontroll över systemen. Det skulle följas senare på året av en All-out DEF CON-style capture-the-flag (CTF) tävling. Den sista händelsen var värd på fysisk hårdvara som var typisk för de arkitekturer och mönster som användes i riktiga satelliter.
Roper beskrev omfattningen av systempenetrationen med ett av problemen som skulle lösas: ”det vi planerar att göra är att ta en satellit med en kamera, få den att peka på jorden och sedan få lagen att försöka ta över kontrollen över kamerans gimbaler och vända sig mot månen. Så, ett bokstavligt månskott.”Deltagarna var tvungna att framgångsrikt få satelliten att knäppa ett foto av månen och sedan hämta den bilden till sin dator.
alla sökande behövde ansöka var en dator för att ansluta via ett virtuellt privat nätverk till spelinfrastrukturen, helst med bredbandsanslutning. De var också tvungna att vara villiga att granskas. ”Moon shot” – utmaningen landade mer än 2000 lag bestående av 6000 individer som kunde ansluta, lära sig och testa sina färdigheter. Aerotech News rapporterade, ” bland dessa lag var världens bästa hackare, som under den sista omgången kämpade för en aldrig-gjort-tidigare satellithackningsutmaning på omloppsbana.”
ur Flygvapnets Synvinkel, generallöjtnant John F. Thompson, dåvarande befälhavare för USA. Space Force Space and Missile Systems Center, validerade projektet med domen, ”den första Hack-a-Sat var en enorm framgång för att samla en mångfaldig grupp av statliga, kommersiella och privata organisationer och individer för att testa och utveckla cybersäkerhetslösningar för våra unika rymdnätverk.”
reglerna
den 4 maj 2021 släpptes ansökan från Air Force Research Laboratory för årets utmaning. Alla lag som är intresserade av en tvåstegstävling med kontantbelöningar och betydande hackercache kan fylla i 17-sidig ansökan, som inkluderade ett släppformulär som ska fyllas i av föräldrar eller vårdnadshavare för minderåriga i ditt lag, fyra sidor med juridiska frågor som behandlar skulder i detalj och ett automatiserat clearinghusformulär för att dirigera vinnarnas kontroller.
flygvapenreglerna för tävlingen ger intressanta insikter om hur man kan dra nytta av samarbete utan att riskera att bli adjungerad i processen. HAS2-reglerna, som applikationen, är också ett 17-sidigt dokument. Den beskriver procedurerna för kvalificeringsevenemanget och formatet för den slutliga CTF-tävlingen: ”den sista händelsen kommer att vara en” attack/defend ” – stil CTF som inträffar med ett simulerat rymdsystem för att inkludera en virtualiserad markstation, ett kommunikationsundersystem och fysisk satellithårdvara som kallas en flatsat.
som en mer traditionell attack / defend CTF, kommer lag att ha sitt eget sårbara system för att driva och försvara, samtidigt som de attackerar motsatta lagens identiska system. Ett antal exploaterbara sårbarheter finns i systemen och team måste korrigera eller på annat sätt mildra sina egna sårbarheter för att skydda mot exploateringsattacker, samtidigt som systemet fungerar normalt (regel 3.1).”Det låter som en flerdimensionell, samtidig penetrationstestning av ditt eget system och alla andra, och allt medan arrangörerna regelbundet pollar varje lagsystem för svaren.
regel 5.1 omfattar stödberättigande med en inledande premiss att vissa länder kommer att uteslutas från början. Inte heller berättigade är ”individer, organisationer eller sponsorer som är namngivna i Specially Designated Nationals list of the US Department of Treasury.”Statliga enheter och individer (från USA eller något annat land) är inte berättigade, men individer som agerar på egen hand förutom regering eller militärtjänst kan kvalificera sig.
i Avsnitt 5.4 finns en lista över diskvalificerande beteenden, inklusive användning av vissa hackerverktyg (icke-specifika denial of service-attacker mot andra konkurrenter) och eventuell brist på öppenhet i upplysningar. ”Inget fysiskt tvång eller hot är tillåtet ”och” alla sabotage, manipulering, missbruk, attacker eller användning utan samtycke från innehållsarrangörens egendom, infrastruktur, utrustning, programvara…är uttryckligen förbjudna.”
potentialen för problem kan vara allvarlig, men Thompson försäkrade allmänheten: ”säkerheten och cybermotståndet hos våra On-orbit-system är en absolut nödvändighet när vi ser till att säkerställa en fredlig utveckling av de globala allmänningarna i rymden under de kommande decennierna. Detta krävde en mängd specialiteter, så partnerskap över hela det professionella cybersäkerhetsspektret är avgörande för att utveckla nästa generations säkra rymdsystem.”White-hat hackare är nu en del av teamet i det professionella cybersäkerhetsspektret.
det slutliga engagemanget
de 10 bästa kvalen i DEFCON 2021 29 inkluderar en lista med färgglada namn inklusive ”OneSmallHackForMan” och ”Poland Can Into Space.”Alla poäng i förberedelserna (och något om varje lag) publiceras på www.hackasat.com. De åtta bästa med två suppleanter kommer nu att delta i det sista CTF-evenemanget som planeras under två dagar från och med den 11 December 2021 kl 1 EST. Nedräkningen i dagar, timmar, minuter och sekunder tickar av på HAS2-hemsidan.