Военно-воздушные силы США не новички на хакерской конференции Defcon. Например, в прошлый раз они привезли с собой компонент информационной системы истребителя F-15. Хакеры впервые получили физический доступ к такому оборудованию. Они с удовольствием приняли подарок, тщательно разобрали его и обнаружили серьёзные уязвимости. Баги позволяют злоумышленнику полностью отключить систему Trusted Aircraft Information Download Station, которая принимает данные с видеокамер и сенсоров самолёта.

ВВС были настолько довольны результатом, что решили поднять ставки. В следующем году они дадут хакерам спутник. Настоящий спутник на орбите и канал связи к его наземной станции.

Таково обещание Уилла Роупера (Will Roper), помощника руководителя Военно-воздушных сил США по вопросам закупок, технологий и логистики. Взлом орбитального спутника и его наземной станции может показаться амбициозной задачей, но Ропер намерен фундаментально измененить подход отрасли к кибербезопасности.

«Мы должны преодолеть свой страх перед привлечением внешних экспертов. Мы до сих используем процедуры кибербезопасности 90-х годов», — сказал Ропер. — У нас очень закрытая модель. Мы предполагаем, что если создаём что-то за закрытыми дверьми и это никто не трогает, то всё в безопасности. Это может быть в некоторой степени справедливо в аналоговом мире. Но в цифровую эпоху везде работает программное обеспечение».

В программах неизбежны ошибки, которые можно использовать, будь то умная микроволновка или сложная система управления полётом. Ропер знает это по собственному опыту: по программе поиска уязвимостей Hack the Air Force было выплачено $130 000 в качестве вознаграждения хакерам, которые обнаружили более 120 уязвимостей. Это была совместная программа HackerOne и Службы цифровой обороны Пентагона в октябре-ноябре 2018 года.

Именно Службы цифровой обороны связала ВВС с организаторами секции Aviation Village («авиационный городок») на Defcon. Это уголок хакерской конференции, на котором были представлены все авиационные экспонаты, которые дебютировали в этом году. Там группа из семи проверенных хакеров под бдительным присмотром ВВС США двое суток взламывали систему Trusted Aircraft Information Download Station, которая передаёт и принимает данные с F-15, и успешно справились с задачей. И это только один из бесчисленных компонентов, которые поставляют внешние подрядчики. Конечно, у BBC есть собственный отдел по кибербезопасности, но ресурсы ограничены, поэтому помощь со стороны весьма кстати.

«Для истребителя F-15 можно было ожидать действительно высоких стандартов, и они есть. Но что насчёт этого скромного транслятора данных, — говорит Ропер. — Вы можете о нём не подумать, а такие компоненты обычно разрабатываются меньшими компаниями. И понятно, что небольшие компании без ресурсов Lockheed Martin или Northrop Grumman, или Boeing не в состоянии гарантировать надёжность и безопасность на конкурентоспособном уровне».

Как только ВВС увидят некие общие проблемы безопасности в сторонних компонентах, то могут вписать в контракты более строгие требования безопасности. Это укрепит всю цепочку поставок и улучшит безопасность не только F-15 и F-35, но и всех остальных самолётов, которые заказывают компоненты у данного подрядчика. То есть это благо для всей авиационной отрасли.

Однако для решения проблемы непрозрачности в авиационной индустрии ещё многое предстоит сделать. Независимым исследователям практически невозможно найти детали самолётов, чтобы проверить их на предмет уязвимостей, а крупные производители негативно воспринимают любое предположение, что в их продуктах могут быть уязвимости, как и в любых системах с миллионами строк кода. Это особенно бросается в глаза на фоне аналогичной напряжённости в автомобильном и медицинском сообществе, которую вроде бы удалось преодолеть. В авиационной отрасли пока никаких сдвигов: производители не делятся информацией, а хакеров воспринимают как врагов.

Ропер надеется, что участие Военно-воздушных сил в конференции Defcon поможет преодолеть этот барьер. В конце концов, кто не хочет взломать спутник?

Взлом спутника

Вот как будет организован процесс. В ближайшее время ВВС начнёт приём заявок от желающих. Среди всех желающих будет отобрано некоторое количество исследователей. За шесть месяцев до Defcon их пригласят опробовать свои идеи во время фазы "flat-sat" — по сути, проверки эксперимента. Затем из этой группы выберут самых лучших хакеров, которые на конференции Defcon 2020 получат доступ к настоящему спутнику.

«Мы планируем взять спутник с камерой, направить её на Землю, а затем попросить участников взломать управление и повернуть её к Луне, — говорит Ропер. — То есть буквально сделать снимок Луны». Условия простые: показал фотографию — получил вознаграждение.



Некоторые детали конкурса пока не обнародованы. Например, какой спутник будет задействован (скорее всего, какой-то спутник с низкой околоземной орбиты), сколько команд отберут для каждого раунда и размер окончательного вознаграждения. Но всё же не каждый день вы получаете возможность взломать космический аппарат, тем более легально.

«Если вы хотите попасть на спутник, то нужно или пройти через наземную станцию, или попытаться найти путь напрямую, с помощью собственного передатчика. Мы дадим возможность участникам сделать и то, и другое, — говорит Ропер. — Их задача любым способом захватить контроль над спутником».

Каждый исследователь пройдёт проверку личности перед тем, как ему дадут доступ к военной технике. Для армии это лишние хлопоты, но они стоят того. Чем раньше сообщество начнёт искать уязвимости в военном оборудовании, тем более безопасным оно станет: «Мы хотим находить уязвимости на стадии проектирования, а не после выпуска, — говорит Ропер. — Лучше всего, когда для каждой системы существует эквивалент-симулятор flat-sat. Пусть лучшие и самые талантливые хакеры попытаются его взломать, потому что [на этом этапе] уязвимости менее чувствительны. Это не операционная система. Это легче исправить. Нет никаких причин не делать этого, кроме исторического страха, что мы допускаем людей, не связанных с Военно-воздушными силами».

Если ВВС готовы предоставить такой доступ, возможно, их примеру последуют и представители аэрокосмической индустрии. «Чего мы пытаемся добиться — это помочь индустрии увидеть, что на самом деле есть польза в изучении потенциальных рисков. Что добросовестные исследования могут быть чем-то действительно полезным, — говорит Купер, который приветствует относительную открытость ВВС сообществу безопасности. — Трудность заключается в том, чтобы связать тех, кто проводит добросовестные исследования, с реальными владельцами этих потенциально уязвимых систем».

Конечно, конкурс по взлому спутника в какой-то степени маркетинговый ход. Но у него есть и определённая практическая ценность — он сделает по крайней мере один спутник более безопасным. И он актуален для нынешнего состояния индустрии. Купер говорит, что космос стал важной частью авиационной отрасли. Здесь работает всё больше коммерческих компаний, а в следующем году «авиационный городок» на Defcon станет «аэрокосмическим». И этот конкурс также несёт обществу важное сообщение: у ВВС есть классные игрушки, и они позволят их ломать. Для сообщества безопасности это довольно вкусная конфетка.

Если вам не нравится взламывать спутники, ничего страшного. По словам Ропера, он делает всё возможное, чтобы привезти на Defcon целый самолёт. У них просто небольшие проблемы с поиском места.