Jak bezkarnie zhakować amerykańskiego satelitę

Do tej pory przyzwyczailiśmy się do tego, że firmy produkujące oprogramowanie inicjują nagrody za błędy, rozdają tysiące dolarów w nagrodach niezależnym badaczom, którzy znajdują i odpowiedzialnie ujawniają luki bezpieczeństwa.

Jednak, jak donosi Wired, nie tylko firmy dostrzegają zalety testowania swoich systemów przez hakerów w białych kapeluszach. Siły powietrzne USA są tak zadowolone z tego, że grupa wojskowych odkryła poważne luki w systemie myśliwców F-15, że na konferencji hakerskiej DEF CON w Las Vegas, zapowiedziała dopuszczenie podobnej konkurencji w następnym roku, badając stan bezpieczeństwa orbitujących satelitów.

Jaki jest tego cel? Otóż priorytetem jest sprawdzenie, czy mogą przejąć kontrolę nad orbitującym satelitą i odwrócić kamerę, tak by wpatrywała się w Księżyc zamiast w Ziemię. Oczywiście siły powietrzne nie zamierzają otwierać drzwi dla każdego Toma, Dmitry lub Harry’ego, aby spróbować włamać się do jednego z satelitów lub stacji naziemnych. Zamiast tego zaprosi do współpracy badaczy z podatnymi aplikacjami, którzy zaakceptują ich warunki. Następnie zmniejszy grupę do tych, którzy ich zdaniem mają największe szanse na sukces i nie wejdą w układ z żadną firmą z drogim kosmicznym sprzętem!

Innymi słowy, siły powietrzne będą wymagały wcześniejszej rejestracji i zatwierdzenia obecności uczestniczących hakerów, a moim zdaniem jest mało prawdopodobne, aby spoglądali pozytywnie na aplikacje pochodzące z niektórych części świata. Nie wiadomo, czy będą również zainteresowani rejestracją, jeśli ktoś nie chce się poddać sprawdzeniu przeszłości. Co więc zmotywowało Siły Powietrzne USA do podjęcia ataku hakerskiego, który prawdopodobnie przyciągnie uwagę mediów? Powód jest prosty. Wiele komponentów używanych na satelicie i powiązanej stacji naziemnej pochodzi od małych wyspecjalizowanych firm, które mogą nie mieć wystarczających zasobów, aby odpowiednio sprawdzić, czy ich technologia wytrzyma zdecydowaną próbę włamania sponsorowaną przez Chiny, Rosję, lub Koreę Północną. Wired wyjaśnia, że gdy siły powietrzne dowiedzą się o typowych problemach z bezpieczeństwem wpływającym na części innych firm, te mogą zacząć wprowadzać w swoich umowach surowsze wymogi bezpieczeństwa, wzmacniając łańcuch dostaw. Will Roper, asystent sekretarza sił powietrznych ds. akwizycji, technologii i logistyki, mówi, że dla armii amerykańskiej ważne jest, aby docenić wartość, jaką mogą znaleźć zewnętrzni badacze podatności na zagrożenia, gwarantując, że bezpieczeństwo systemów zostanie przetestowane przed ich wykorzystaniem. przez złośliwego napastnika. „Musimy przezwyciężyć strach przed zatrudnieniem zewnętrznych ekspertów, którzy pomogą nam być bezpiecznymi. Nadal wdrażamy procedury bezpieczeństwa cybernetycznego od lat 90. XX wieku ”- mówi Roper.„Mamy bardzo zamknięty model. Zakładamy, że jeśli zbudujemy rzeczy za zamkniętymi drzwiami i nikt ich nie dotknie, będą bezpieczne. To może być do pewnego stopnia prawdziwe w świecie analogowym. Ale w coraz bardziej cyfrowym świecie, wszystko ma w sobie oprogramowanie.”

Departament Obrony USA stworzył serię wyzwań za błędy od czasu, gdy „Hack the Pentagon” został wydany w 2016 roku . Należą do nich „Hack the Army”, „Hack the Air Force”, „Hack the Defense Travel System” oraz „Hack the Marine Corps”. W ramach tych inicjatyw zgłoszono ponad 5000 luk w systemach rządowych, co dowodzi, że inicjatywa ta jest korzystna zarówno dla badaczy podatności, jak i Departamentu Obrony USA. Wyznaczono nagrodę za błąd. „Hack the Air Force” wypłaciła hakerom ponad 130 000 USD po wykryciu ponad 120 słabych punktów w ciągu zaledwie jednego miesiąca w ubiegłym roku.

Uważam, że pozytywną rzeczą jest obserwowanie przez amerykańskie siły powietrzne ekspertów zewnętrznych i przekonanie się, jak można łatwo włamać się na orbitującego satelitę. Zawsze lepiej będzie, gdy ktoś przyjazny przetestuje twoje systemy, niż czekać, aż złośliwy atakujący znajdzie poważną lukę bezpieczeństwa na orbitującym satelicie.