.
Recurso Supondo que os deuses do clima e da engenharia cooperem, um satélite financiado pelo governo dos EUA chamado Moonlighter será lançado às 1235 EDT (1635 UTC) no sábado, pegando carona em um foguete SpaceX antes de ser lançado na órbita da Terra.
E em cerca de dois meses, cinco equipes de hackers DEF CON farão o possível para se infiltrar remotamente e sequestrar o satélite enquanto ele estiver no espaço. A ideia é experimentar técnicas e métodos ofensivos e defensivos em hardware e software reais em órbita, que imaginamos que possam ajudar a melhorar nossos sistemas espaciais.
O Moonlighter, apelidado de “a primeira e única caixa de areia para hackers no espaço”, é um cubesat 3U de tamanho médio. [PDF] com uma massa de cerca de 5kg. Armazenado, mede 34 cm x 11 cm x 11 cm e, quando totalmente implantado com os painéis solares para fora, mede 50 cm x 34 cm x 11 cm.
Foi construído pela The Aerospace Corporation, um centro de pesquisa e desenvolvimento financiado pelo governo federal no sul da Califórnia, em parceria com o US Space Systems Command e o Air Force Research Laboratory. Ele executará software desenvolvido por engenheiros da infosec e aeroespacial para oferecer suporte a treinamentos e exercícios de segurança cibernética em órbita.
Este esforço foi inspirado pelo Hack-A-Sat concurso co-organizado pela Força Aérea e Força Espacial dos EUA, agora em seu quarto ano no evento anual CON DEF conferência de segurança informática.
O objetivo do Moonlighter era mover exercícios cibernéticos ofensivos e defensivos para sistemas espaciais de um ambiente de laboratório na Terra para uma órbita terrestre baixa, de acordo com o líder do projeto Aaron Myrick da Aerospace Corp. capaz de lidar com várias equipes competindo para assumir o controle de seu software sem perder ou danificar tudo e arruinar o projeto. Assim, uma abordagem sandbox a bordo foi adotada.
“Se você está participando de uma competição de hackers ou qualquer tipo de atividade cibernética ou exercício com um veículo vivo, é difícil porque você está potencialmente colocando em risco a missão desse veículo”, disse Myrick. Strong The One.
“E essa não é uma boa opção quando você gasta muitas horas de engenharia e muito dinheiro para lançar isso. Então, dissemos que, se quisermos fazer isso direito, teremos que construí-lo do zero.”
Enviando para o espaço sideral… O satélite Moonlighter. Clique para ampliar. Crédito: The Aerospace Corporation
Para esse fim, o pequeno satélite executa uma carga útil de software que se comporta como um computador de vôo real, que pode – espero! — ser submetido a ataques múltiplos e realistas e comandado sem que os subsistemas críticos subjacentes sejam afetados.
“Isso permite que os experimentos cibernéticos sejam repetíveis, realistas e seguros, mantendo a saúde e a segurança do satélite”, como disse a Aerospace Corp.
O primeiro teste do Moonlighter acontecerá em agosto, quando fará parte da competição Hack-A-Sat 4 em Las Vegas. Cinco equipes se classificaram para a final da competição na DEF CON, durante a qual terão uma chance de acertar o alvo.
A competição anual deste ano será, portanto, a primeira vez que os hackers de conferência testarão suas habilidades contra um satélite em órbita ao vivo. As três primeiras equipes ganharão um prêmio monetário: $ 50.000 para o primeiro lugar, $ 30.000 para o segundo e $ 20.000 para o terceiro.
Space Jam
James Pavur, engenheiro-chefe de software de segurança cibernética da Istari, participou das três competições anteriores de Hack-A-Sat e deu uma palestra sobre ataques de radiofrequência no espaço sideral na DEF CON do ano passado.
Ele se descreve como um “pesquisador de segurança apaixonado” quando se trata de abrir buracos em satélites, e fez sua tese de doutorado em Oxford sobre como proteger esses tipos de sistemas. Você também pode se lembrar dele de seu exploração de solicitações GDPR.
Pavur participou da rodada de qualificação para a competição de hackers de satélites deste ano, mas não chegou à final.
A rodada de qualificação incluiu “problemas astrodinâmicos extremamente difíceis relacionados à mecânica geral e ao posicionamento, descobrindo onde os objetos no espaço estarão e para onde estão indo”, disse ele Strong The One. “É muita matemática realmente profunda no lado da física das coisas e requer muita experiência em sistemas embarcados e engenharia reversa.”
Os sistemas espaciais … estão sempre sob um grau de ataque ambiental ao qual não estamos realmente acostumados
Existem algumas coisas que tornam os sistemas espaciais de segurança únicos, explicou ele.
“O mais óbvio é que você não pode simplesmente ir lá e reiniciá-los”, disse ele. “Portanto, sua tolerância ao risco é muito baixa por perder o acesso às comunicações com o dispositivo.”
Por causa disso, os sistemas espaciais são construídos de maneira avessa ao risco e empregam redundância para fornecer vários caminhos de comunicação para recuperar um sistema em caso de falha ou para depurar equipamentos com defeito.
Esses caminhos, no entanto, também oferecem aos malfeitores mais oportunidades de obter acesso e, finalmente, comprometer um satélite. “Todos eles podem se tornar superfícies de ataque que um invasor pode ter como alvo”, disse Pavur.
Prioridades
“A outra grande coisa que torna os sistemas espaciais diferentes é que eles estão sempre sob um grau de ataque ambiental ao qual não estamos realmente acostumados”, acrescentou.
Isso inclui ameaças físicas, como radiação solar, temperaturas extremas e detritos orbitais.
“Portanto, quando as pessoas constroem sistemas espaciais e decidem quais riscos priorizar, geralmente tratam a segurança cibernética como um risco menor contra os danos ambientais agressivos absolutamente certos”, explicou Pavur.
“Eles farão escolhas em torno de custos e prioridades que despriorizam as preocupações de segurança cibernética e elevam as preocupações físicas”.
Isso nem sempre é uma má escolha, acrescentou, simplesmente não é uma escolha que normalmente temos que fazer com redes e nós terrestres. E é uma das razões pelas quais os sistemas espaciais têm lutado para acompanhar, em termos de segurança cibernética, seus equivalentes terrestres.
Depois, há a crescente comercialização da indústria aeroespacial, juntamente com hardware e software usados no espaço tornando-se cada vez mais comoditizados e fabricados em massa, não muito diferente da tecnologia usada em sistemas terrestres.
“A barra está diminuindo para entrar no espaço”, disse Myrick.
“E isso é tanto para as pessoas que estão tentando colocar as coisas lá, mas também para as pessoas que estão dispostas e são capazes de fazer outras pessoas terem um dia ruim”, continuou ele, usando o ano passado desastre da viasat como um exemplo de “um evento bastante destrutivo que fez as pessoas terem um dia muito ruim”.
“Com Moonlighter, estamos tentando enfrentar o problema, antes que se torne um problema.”
Segurança espacial é segurança nacional
Para ser claro, a Rússia ataque cibernético no sistema de banda larga via satélite ucraniano da Viasat – que interrompeu o serviço para dezenas de milhares em toda a Europa quando o exército de Putin invadiu o condado vizinho – começou com uma intrusão na infraestrutura terrestre de satélite da empresa.
“Mas eles usaram a rede de satélites para implantar, o que é importante”, disse Myrick. “Isso destacou o problema e fez com que não fosse teórico.”
Para muitos, tanto no governo quanto no setor privado, a violação de segurança da Viasat afastou a questão da segurança cibernética no espaço dos romances de ficção científica e na realidade.
“Estamos todos cientes de que o primeiro ‘tiro’ no atual conflito na Ucrânia foi um ataque cibernético contra uma empresa espacial dos EUA”, disse o diretor cibernético nacional interino dos EUA, Kemba Walden, a repórteres na Conferência RSA em abril, a caminho do primeiro espaço da Casa Branca. workshop de segurança cibernética da indústria.
A defesa dos sistemas espaciais contra ameaças continua sendo “urgente e requer atenção de alto nível“, disse Walden.
Geeks e hackers do espaço
Ainda assim, a indústria espacial não tem sido a mais acolhedora para os pesquisadores de segurança, mesmo para os hackers éticos que procuram encontrar e divulgar bugs antes que os bandidos os explorem.
Pavur disse que espera que o Moonlighter encoraje mais “aceitação de pesquisas de segurança ofensivas” na indústria aeroespacial. Isso pode incluir empresas que oferecem recompensas por bugs, hospedando competições de hackers ou contratando testadores de penetração para testar seus sistemas.
“Esperamos que um projeto como o Moonlighter faça com que a indústria pense em maneiras de aplicar o fato de que o espaço é realmente legal e divertido e que os hackers estão interessados nele”, disse ele. “Existem muitos seguranças incrivelmente talentosos que gostariam de tornar o mundo espacial mais seguro.” ®
Moonlighter está definido para lançar Sábado do Kennedy Space Center na Flórida em um foguete SpaceX Falcon 9 transportando suprimentos e equipamentos para a Estação Espacial Internacional. Uma transmissão ao vivo da decolagem deve aparecer aqui.
.
