Hackers ganham 50 mil dólares após invadir e controlar um satélite
Olá leitor!
No final de semana passado, 7 a 9 de agosto, grupos de hackers conseguiram invadir e controlar um satélite e obtiveram com isso um pagamento de 50 mil dólares!
Essa façanha ocorreu no evento "Hack-a-sat" do "Space Security Challenge 2020" (Desafio de Segurança Espacial 2020), dentro do DEFCON Safe Mode - DEFCON28 (veja aqui), apoiado pelo Departamento de Defesa dos Estados Unidos (DoD - Department of Defense), em parceria com a DEFCON.ORG, uma organização que promove eventos e desafios mundiais de segurança da informação.
Essa não é a primeira vez que o DoD faz um evento para testar sistemas de interesse da defesa dos Estados Unidos. Em 2019, o DoD já havia promovido um evento para avaliar as vulnerabilidades de um dos seus mais icônicos caças, o famoso, respeitado e longevo, F-15 (veja aqui).
O evento deste ano foi conduzido para que equipes de hackers competissem durante os 3 dias, em um formato chamado "Capture the Flag" (capture a bandeira), ou, simplesmente, CTF, onde, em etapas eliminatórias sucessivas, os grupos tinham que comprovar o seu êxito apresentando informações ou realizando ações, como obter informações ou executar comandos no sistema alvo. Assim, considerando o número de "bandeiras" capturadas e o tempo para cada etapa, os grupos menos bem sucedidos foram sendo eliminados e os melhores foram passando para a fase seguinte, com um nível de dificuldade crescente, até o grande resultado final, no último dia.
Apesar de ações hackers (na verdade, crackers (veja aqui a diferença)) como jamming (interferência de sinais de ondas de rádio) e spoofing (falsificação de sinal e/ou de identidade da fonte emissora) serem mais comuns do que se pensa em sistemas satelitais, o evento desse ano buscou identificar fragilidades mais profundas nesses sistemas, desde a intrusão e controle em sistemas de solo, quanto a intrusão e controle de satélites propriamente ditos.
Mesmo não tendo sido usados sistemas satelitais operacionais reais, ainda que partes dos sistemas tenham sido simulados em um ambiente controlado e em simuladores com características muito similares aos sistemas reais, um picossatélite (flat-sat) físico, cedido pelo DoD, foi o hardware alvo (veja aqui) que serviu como simulacro de um satélite operacional a ser atacado.
Dentre as ações de intrusão conseguidas pelas equipes podemos destacar: obtenção de informações sensíveis de sistemas de solo, negação de serviço, injeção de códigos maliciosos e de falhas, controle de sistemas, degradação / deterioração de sistema e controle do satélite e seus sistemas.
A título de curiosidade, as ações mais complexas definidas como "bandeiras" e realizadas pelas equipes finalistas foram: apontar a câmera do satélite para a Lua e tirar uma foto do satélite natural e apontar a câmera do satélite para o sol (para danificar o payload e torná-lo inoperante).
Como prêmio pelo resultado a equipe A*O*E, campeã do desafio, obteve a premiação de 50 mil dólares (veja aqui o resultado final).
Rui Botelho
Nota do autor: Como professor de cursos de tecnologia e de engenharia, acho muito relevante essa abordagem de desafios e exercícios de ataque e defesa cibernética, o que, ao meu ver deve ser estimulado desde as cadeiras mais básicas da academia, em todas as áreas. Apesar de sempre aplicar um viés prático para as disciplinas que conduzo, destaco que, em dezembro de 2019 e janeiro de 2020, ministrei duas disciplinas em um curso de pós-graduação em Segurança da Informação, nas quais as avaliações finais foram exercícios de Captura / Defesa de Bandeiras. Toda a teoria das disciplinas (Sistemas Operacionais de Redes e Desenvolvimento e Internet) foi ministrada na primeira metade dos cursos, juntamente com o edital do desafio com as respectivas regras, e, nas segundas metades, os alunos realizaram a preparação dos ambientes e os desafios propriamente ditos, com resultados muito interessantes.
Depois não acreditam que o auto sabotado VLS-1 não foi sabotado!
ResponderExcluirOlá leitor! Acho que não podemos afirmar uma coisa assim. Mas que existem brechas em muitos sistemas, elas existem.
Excluir