23 сентября 2019

The Air Force Will Let Hackers Try to Hijack an Orbiting Satellite



BRIAN BARRETT 09.17.2019
ВВС позволят хакерам попытаться захватить орбитальный спутник

На конференцию по взлому Defcon в следующем году ВВС принесут спутник, чтобы хакеры смогли повеселиться и прославиться.
PHOTO: LOCKHEED MARTIN
 Когда ВВС появились в прошлом месяце на хакерской конференции Defcon в Лас-Вегасе, это произошло не с пустыми руками. Они принесли с собой систему данных истребителя F-15, которую исследователи безопасности тщательно разобрали, обнаружив в ней серьезные уязвимости. ВВС США были настолько довольны результатом, что решили увеличить ставку. В следующем году они принесут на конференцию спутник.

 Это пообещал Will Roper, помощник секретаря ВВС по закупкам, технологиям и логистике. Хотя привлечение элитных хакеров к взлому орбитального спутника и его наземной станцией может показаться амбициозной задачей, это соответствует обязательству Roper-а коренным образом изменить то, как его подразделение вооруженных сил отвечает на вызовы кибербезопасности.

«Мы должны преодолеть страх перед привлечением внешних экспертов, чтобы помочь нам быть в безопасности. Мы все еще осуществляем процедуры кибербезопасности по правилам 1990-х годов», - говорит Roper. «У нас очень закрытая модель. Мы предполагаем, что если мы будем строить вещи за закрытыми дверями, и никто в них не заглядывает, то они будут в безопасности. Это может быть правдой до некоторой степени в аналоговом мире. Но во все более цифровом мире все оборудование имеет программное обеспечение».

«То, что они собираются сделать, это попытаться захватить спутник любыми способами, которые смогут найти».

Любое программное обеспечение неизбежно имеет ошибки, которые могут быть использованы, будь то умная микроволновка или сложная система полета. Roper знает об этом по собственному опыту. По инициативе «Взломай ВВС», щедрое вознаграждение, возникшее в результате партнерства между HackerOne и DDS (Defense Digital Service Пентагона) было выплачено 130 000 долларов хакерам, которые в декабре прошлого года совместно обнаружили более 120 уязвимостей.

Именно DDS связал ВВС с организаторами Defcon's Aviation Village, хакерской конференции, посвященной всем вещам, которые дебютировали в этом году. Там группа из семи проверенных хакеров под пристальным присмотром ВВС США атаковала станцию ​​загрузки информации о самолетах, которая передает данные туда и обратно на самолёты F-15. С обнаруженными ими уязвимостями они могли бы их отключить. И это только один из бесчисленных компонентов, которыми пользуется ВВС. Конечно, у ВВС есть своя внутренняя команда по кибербезопасности, но ее ресурсы ограничены, она нуждается в небольшой помощи.

«Можно ожидать действительно высоких стандартов безопасности для F-15, и он имеет их. Но как, например, насчет этого скромного преобразователя данных?», - говорит Roper. «Такие вещи, как правило, создаются небольшими компаниями. И вы можете себе представить, что более мелкие компании без ресурсов Lockheed Martin, Northrop Grumman или Boeing не способны думать о кибер-устойчивости и безопасности на уровне, который может конкурировать с конкурентами, такими как Китай».

Как только военно-воздушные силы увидят, какие распространенные ошибки безопасности совершаются их сторонними компаниями, они могут включать более строгие требования безопасности в свои контракты. Это укрепляет всю цепочку поставок, что, в свою очередь, повышает безопасность каждого самолета.

Однако предстоит еще многое сделать для решения проблемы непрозрачности в авиационном сообществе. Независимым исследователям трудно найти компоненты самолётов. А крупные производители, которые делают эти компоненты, недовольны даже мыслями о том, что их продукты могут иметь уязвимости, как и все, что работает на миллионах строк кода. Это особенно заметно то время, когда подобные трения в сообществах автомобильной и медицинской техники в значительной степени ушли в прошлое, говорит Pete Cooper, директор Aviation Village. «Я не вижу такого же сотрудничества в авиационном секторе», - говорит Cooper.

Roper надеется, что участие ВВС может помочь сломать эту стену. В конце концов, кто бы не хотел взломать спутник?

Захват спутников
Вот как это будет работать: в ближайшее время ВВС объявят конкурс. Ты думаешь, что знаешь, как взломать спутник или его наземную станцию? Дай им знать. Отобранному числу исследователей, чьи идеи покажутся жизнеспособными, будет предложено опробовать свои идеи на тестовой сборке, включающей все возможные компоненты - за шесть месяцев до Defcon. ВВС отправят победителей из этой группы в Defcon для участия в хакерских соревнованиях.

«То, что мы планируем сделать, - это взять спутник с камерой, навести его на Землю, а затем попросить команды взять на себя управление подвесами камеры и повернуть её к Луне», - говорит Roper. «То есть, буквально сфотографировать Луну».

Некоторые детали еще не определены, например, какой спутник будет задействован, на какой орбите, сколько команд будет выбрано в каждом раунде, а также размер окончательного денежного вознаграждения. Но, тем не менее, не каждый день вы можете взломать небесное тело, тем более законно.

«Если вы хотите попасть на спутник, вы можете либо пройти через наземную станцию, либо попытаться найти выход на спутник напрямую, используя собственный излучатель. У нас будут возможности для обоих способов», - говорит Roper. «Но они собираются попытаться захватить спутник любыми способами, какие только обнаружат».

Исследователи безопасности должны будут пройти процесс проверки; это военная техника, в конце концов. Но в идеале возможный результат стоит хлопот. И чем раньше в дело вступит сообщество безопасности, тем лучше. «Мы хотим взломать систему на этапе разработки, а не после того, как её построили», - говорит Roper. «Пусть придут лучшие и самые яркие, нет никаких причин не делать этого, кроме исторического страха, что мы впускаем людей за заборы ВВС».

Если военно-воздушные силы готовы позволить людям заглянуть под капот, то, возможно, коммерческая аэрокосмическая отрасль также подойдет на это. «Мы пытаемся помочь отрасли понять, что, на самом деле, полезно узнать о потенциальных рисках, что добросовестные исследования могут быть чем-то действительно полезным», - говорит Cooper, который аплодирует ВВС за его относительную открытость.

Cooper говорит, что космос стал настолько важной частью кибербезопасности самолетов, что Aviation Village в следующем году будет называться Aerospace Village. И намечаемое событие также передаст послание: у ВВС есть классные игрушки, которые вы можете сломать.


Комментариев нет:

Отправить комментарий

Извините, в связи с огромным количеством спама, все ваши комментарии могут появляться с небольшой задержкой.
Буду рад, если вы не забудете подписаться под своим комментарием :)