Во время ИБ-конференции DEF CON в Лас-Вегасе, которая пройдет в августе 2023 года, исследователям предстоит удаленно взломать спутник Moonlighter, который на днях был успешно доставлен на орбиту с помощью SpaceX Falcon 9. Команда, которая обнаружит способ захвата спутника, получит главный приз в размере 50 000 долларов.
Moonlighter, который называют «первой и единственной в мире хакерской песочницей в космосе», представляет собой небольшой кубсат (PDF) массой около 5 килограммов. В сложенном состоянии он имеет размеры 34 см x 11 см x 11 см, а в полностью развернутом состоянии с солнечными батареями – 50 см x 34 см x 11 см.
Спутник построен корпорацией The Aerospace Corporation, финансируемой из федерального бюджета США, в партнерстве с Командованием космическими системами США и Исследовательской лабораторией ВВС США. На нем будет запущено программное обеспечение, разработанное ИБ-специалистами и экспертами из аэрокосмической отрасли специально для тренировок и учений по кибербезопасности на орбите.
Этот проект вдохновлен конкурсом Hack-A-Sat, который уже четыре года проводится специалистами ВВС США и Космическими силами США на ежегодной ИБ-конференции DEF CON.
По словам руководителя проекта Аарона Майрика (Aaron Myrick) из Aerospace Corporation, цель Moonlighter состоит в том, чтобы перенести наступательные и оборонительные киберучения для космических систем из лабораторных условий на Земле на околоземную орбиту. Кроме того, спутник создан таким образом, чтобы выдерживать попытки хакерских команд, соревнующихся в захвате контроля над его программным обеспечением, чтобы конкурсанты не смогли повредить его или разрушить.
«Если вы проводите хакерское соревнование, а также любую другую киберактивность или учения с реальным аппаратом, это сложно, потому что вы потенциально подвергаете риску миссию этого аппарата, — говорит Майрик. — Это не лучший вариант, если ранее вы потратили много инженерных часов и много денег на его запуск. Поэтому мы решили, что если хотим сделать все правильно, то должны построить все с нуля».
С этой целью на спутнике запущено ПО, которое ведет себя как настоящий бортовой компьютер и может подвергаться множественным реальным атакам, позволяя захватить спутник без ущерба для его критических подсистем.
«Все это делает киберэксперимент воспроизводимым, реалистичным и безопасными, сохраняя при этом здоровье и безопасность спутника», — объясняют в Aerospace Corp.
Первое испытание Moonlighter состоится в августе, когда его будут ломать в рамках состязания Hack-A-Sat в Лас-Вегасе. Пять команд, прошедшие в финал DEF CON, получат право попробовать свои силы в этой области.
Это будет первым случаем, когда целью на ежегодном хакерском конкурсе станет реальный спутник, на самом деле находящийся на орбите. Три лучшие команды получат денежное вознаграждение: 50 000 долларов за первое место, 30 000 долларов за второе место и 20 000 долларов за третье.
Издание The Register приводит слова ведущего инженер-программиста по кибербезопасности в Istari, Джеймса Павура (James Pavur), который принимал участие в трех предыдущих соревнованиях Hack-A-Sat. Павур описывает себя как «страстного ИБ-исследователя», когда дело доходит до обнаружения дыр в спутниках, и защитил докторскую диссертацию в Оксфорде по защите таких систем.
Павур участвовал в квалификационном раунде конкурса по взлому спутников и в этом году, но не прошел в финал. По его словам, отборочный раунд включал в себя «сложные задачи по астродинамике, связанные с общей механикой и позиционированием, выяснением того, где будут находиться объекты в космосе, и куда они направляются». Эксперт говорит, что конкурс требует «очень глубокой математики и физики, а также большого опыта во встроенных системах и реверс-инжиниринге».
Исследователь объясняет, что ряд вещей делают защиту космических систем уникальной. В частности, тот факт, что их невозможно просто «пойти и перезагрузить». В связи с этим, космические системы строятся с учетом множества рисков и используют избыточность, чтобы обеспечивать различные способы связи для восстановления системы (на случай сбоя, а также для отладки неисправного оборудования). Однако такой подход дает злоумышленникам больше возможностей по получению доступа к спутнику и его компрометации.
«Другая важная особенность космических систем заключается в том, что они постоянно подвергаются воздействию окружающей среды, к которой мы не привыкли [включая физические угрозы, такие как солнечная радиация, экстремальные температуры и орбитальный мусор]. Поэтому, когда люди проектируют космические системы и решают, каким рискам отдать предпочтение, они часто рассматривают кибербезопасность как меньший риск по сравнению с крайне агрессивным вредом от окружающей среды», — рассказывает эксперт.
По его словам, это одна из причин, по которой космические системы с трудом поспевают за своими земными аналогами, когда речь заходи о кибербезопасности.
Павур надеется, что Moonlighter будет способствовать большему «принятию наступательных исследований в области безопасности» в аэрокосмической отрасли. Подобным могут заниматься как компании, предлагающие вознаграждение за обнаружение уязвимостей и проводящие хакерские соревнования, так и нанимающие пентестеров для стресс-тестирования своих систем.
«Надеюсь, что такой проект, как Moonlighter, заставит индустрию задуматься о том, как можно использовать тот факт, что космос — это действительно круто и весело, и хакеры интересуются им. Есть много невероятно талантливых специалистов по безопасности, которые хотели бы сделать космический мир более безопасным», — заключает Павур.
