在明年的Defcon黑客大会上,美国空军将带来一颗卫星。

上个月,当美国空军出现在拉斯维加斯的Defcon黑客大会上时,它并非空手而归。它带来了一个F-15战斗机数据系统--安全研究人员彻底拆除了该系统,发现了许多的的严重漏洞,美国空军对这个结果非常满意,因此决定加大赌注。将在明年带来轨道卫星系统,并重金悬赏排查漏洞。

这是美国空军负责采购、技术和后勤的助理部长Will Roper的承诺。虽然派遣精英黑客去追踪一颗轨道卫星(及其地面接收站)可能听起来比较耗资费力,但这就是Roper的承诺,即从根本上改变他的军事部门攻击网络安全挑战的方式。

Roper说:“我们必须克服害怕接受外部专家帮助我们获得安全感的心理。我们仍在执行上世纪90年代以来的网络安全程序。我们有一个非常封闭的模型。我们假设,如果我们关起门来建东西,没有人接触到它们,它们就会很安全。在某种程度上,这在模拟世界中可能很正确。但在日益数字化的世界里,所有东西都有软件。”

“他们要做的是试图用他们发现的任何方式接管卫星。”

--WILL ROPER,AIR FORCE

无论是在智能微波系统还是在复杂的飞行系统中,软件都不可避免地会有漏洞被利用。Roper从经验中了解到这一点:“黑掉空军”(Hack The Air Force)是HackerOne与五角大楼国防数字服务(Pentagon’s Defense Digital Service)共同发起一项漏洞赏金计划,去年12月,该计划向黑客支付了13万美元--这些黑客总共发现了120多个漏洞。

Roper说:“你会期待F-15有非常高的安全程序,它也确实有。但是这个不起眼的数据翻译程序到底怎么样?你可能会忽略这一点,但这些东西往往是由规模较小的公司建造的。你可以想象,如果没有洛克希德马丁(美国航空航天公司)、诺斯洛普·格鲁门公司或波音公司,规模较小的公司无法在与中国这样的同行竞争的水平上考虑网络弹性和安全性。”

一旦美国空军发现其第三方部件存在哪些常见的安全隐患,它就可以开始在合同中写入更严格的安全要求。这使得整个补给链更加坚固,而这反过来又使得每个人的飞机更加安全。

不过,要解决更广泛的航空界的不透明问题,还有更多的工作要做。对于独立的研究人员来说,飞机部件是很难找到的,而且大型制造商对任何关于他们的产品可能存在漏洞的说法都感到愤怒,就像其他任何运行在数百万行代码上的漏洞一样。Aviation Village的负责人Pete Cooper表示:“与汽车和医疗设备行业类似的紧张关系在很大程度上已经缓和,在这种情况下,这一点尤其引人注目。我在航空业看不到同样的合作。在这一领域,并没有太多积极有效的关系存在。”

Roper希望美国空军的参与能够帮助建造这座桥梁。毕竟,谁不想黑掉一颗卫星呢?

恢复卫星

它的工作原理是这样的:不久的将来,美国空军将发出一份征求意见的呼吁。你知道怎么黑掉卫星或它的地面站吗?让他们知道。在Defcon召开的前六个月,邀请一些研究人员在“平板卫星”阶段(实质上是由所有最终组件组成的测试构建)尝试他们的想法。如果不行,这些人将会被淘汰;美国空军会把获胜者带到到Defcon进行现场黑客竞赛。

Roper说:“我们计划把一颗带相机的卫星对准地球,然后让研究小组设法控制相机框架,转向月球。所以,这是真实的月球拍摄。”

一些具体细节还在筹备中,比如将会有哪颗卫星参与其中--无论是哪颗,它很可能会在近地轨道飞行。每轮将会选出多少支队伍,以及最终的奖金数额。但是,你并不是每天都能侵入一个天体,更不用说合法入侵了。

Roper说:“如果你想进入一颗卫星,你可以通过地面站,或者你可以尝试用你自己的发射机直接进入卫星。我们将有机会让参赛者做到这两点。但他们要做的是试图用他们发现的任何方式接管卫星。”

安全研究人员必须经过审查,毕竟这是军事装备。但理想情况下,这也是一次尝试的机会。在这个过程中,安全团体越早进入,越好。Roper说:“我们想要侵入设计,而不是在我们建成之后。正确的做法是,在每个系统中都存在平面卫星的等效平台。让最优秀和最聪明的人来摧毁它,因为那时的漏洞不那么敏感。这不是一个操作系统。更容易修复。所以,我们决定让空军以外的人来做。”

如果美国空军愿意让人们看到引擎盖下面的东西,那么商业航空工业或许也会这么做。Cooper表示:“我们试图实现的是,帮助工业界认识到,实际上,了解潜在风险是有价值的,真诚的研究可能会非常有用。困难之处在于,要把那些做善意研究的人与系统的实际风险所有者联系起来。”

当然,卫星黑客大赛可能有点公关噱头。但这是一个既实用又有价值的项目--它至少提高了一颗卫星的安全性和相关性。Cooper说,太空已经成为飞机网络安全的重要组成部分,Aviation Village明年将成为Aerospace Village。这次活动也传达了一个重要的信息:空军有很酷的玩具,你可以把它们弄坏。对于安全团体来说,这是一个很好的橄榄枝。