US-Regierung lässt Hacker auf Satelliten im All los
Im August sollen ethische Hacker versuchen können, einen echten Satelliten im Orbit zu kapern. Das von der US-amerikanischen Regierung finanzierte Projekt hat jedoch ein paar Startschwierigkeiten: Der Start der Rakete, die den Satelliten ins All befördern soll, wurde bereits zweimal verschoben.
Seit 4 Jahren können ethische Hacker beim Hack-A-Sat-Wettbewerb versuchen, einen Satelliten zu kapern. Der Wettbewerb wird mitorganisiert durch die US Air Force und die Space Force im Rahmen der jährlichen Security-Konferenz Def Con. Dabei handelt es sich allerdings um Laborversuche – die Teilnehmenden können im Rahmen des Wettbewerbs nicht wirklich einen Satelliten hacken.
Das soll sich nun ändern. Die US-amerikanische Regierung finanzierte ein Projekt, um eine Hacking-Sandbox im Weltall zu realisieren. Dafür soll ein Cubesat mit einem Gewicht von etwa 5 Kilogramm in einen Orbit um die Erde gebracht werden. Mit den Solarpanelen ist der Satellit nur 50 Zentimeter breit, 34 lang und 11 hoch, wie "The Register" berichtet.
Damit mehrere Teams gefahrlos um die Kontrolle über den Satelliten wetteifern können, betreibt dieser eine Software-Payload, die sich wie ein echter Flugcomputer verhält. So soll der Satellit namens Moonlighter realistische Attacken überstehen können, ohne dass die kritischen Subsysteme dabei gefährdet werden.
Im August soll es soweit sein. Die ersten Hackversuche sollen im Rahmen des diesjährigen und vierten Hack-a-Sat-Wettbewerbs erfolgen. Fünf Teams haben sich bereits dafür qualifiziert. Den Top-3-Teams winken Preisgelder von 50'000, 30'000 beziehungsweise 20'000 US-Dollar.
"Space is hard"
Damit irdische Hacker den Satelliten im Orbit hacken können, muss dieser es allerdings zuerst dorthin schaffen. Ursprünglich hätte Moonlighter am 3. Juni mit einer Falcon-9-Rakete von SpaceX ins Weltall fliegen sollen. Aufgrund des widrigen Wetters wurde der Start jedoch um einen Tag verschoben.
Zwar hob am Sonntag, dem 4. Juni, tatsächlich eine Falcon 9 vom Kennedy Space Center in Florida ab. Der zu hackende Satellit war aber nicht an Bord. Auf Twitter verkündeten die Hack-a-Sat-Organisatoren nämlich, dass der Start um einen weiteren Tag auf den 5. Juni verschoben wurde – begleitet durch den Kommentar "Space is hard".
Diese Einschätzung, "Space is hard", trifft auch auf die Cybersecurity-Bemühungen im Weltall zu. Gewisse Faktoren machen die Security von Systemen im Weltall einzigartig. "Das Offensichtlichste ist, dass man nicht einfach hingehen und das System neu starten kann", zitiert "The Register" James Pavur, Lead Cybersecurity Software Engineer bei Istari und Teilnehmer an allen drei bisherigen Hack-A-Sat-Wettbewerben.
Weil die Risikotoleranz bezüglich eines Kommunikationsverlustes so gering ist, verfügen Satelliten über mehrere redundante Systeme. Das bedeutet jedoch zugleich, dass es auch mehrere Wege gibt, auf denen Hacker sich Zugriff verschaffen könnten.
Satelliten sind zudem sehr aggressiven Umweltbelastungen ausgesetzt: solare Strahlung, extreme Temperaturen und herumfliegender Weltraummüll. Diese bestimmt vorhandenen physischen Bedrohungen werden daher oft höher gewichtet als mögliche Cyberattacken – sehr zum Nachteil der Cybersecurity.
Update: Endlich geschafft - die Organisatoren verkündeten, dass der Satellit im Juli seinen Orbit nach einem geglückten Start erreicht hat. Es habe vier Jahre gedauert, aber "dieses Jahr sind wir wirklich im Weltraum", lässt sich Steve Colenzo, Leiter Technology Transfer der Informationsdirektion des Air Force Research Laboratory und einer der Organisatoren des Wettbewerbs, in einer Mitteilung zitieren. Und Mitte August gaben fünf Teams ihr Bestes, um den Satelliten von der Erde aus zu hacken, wie die Organisatoren in einer weiteren Mitteilung schreiben. Die Teilnehmenden erhielten für verschiedene Aufgaben Punkte, darunter die Herstellung einer Datenverbindung mit der integrierten Hacking-Sandbox von Moonlighter, das Umgehen der Beschränkungen für das Fotografieren bestimmter Regionen der Erde und das Herunterladen der Fotos auf eine Bodenstation. Eine weitere Herausforderung bestand darin, Moonlighter - das über kein Antriebssystem verfügt - durch das Einspeisen gefälschter Skripte in seinen GPS-Empfänger dazu zu bringen, zu melden, dass es sich über dem Nordpol befände. Die Teams mussten ausserdem ihr eigenes anfälliges Betriebssystem verteidigen, während sie versuchten, ihre Konkurrenten zu sabotieren. Das italienische Team "mHACKeroni" sicherte sich den mit 50'000 Dollar dotierten ersten Platz. Die Plätze 2 und 3 bescherten "Poland Can Into Space" (natürlich ein Team aus Polen) und dem britisch-amerikanischen Team "jmp fs:[rcx]" 30'000 respektive 20'000 Dollar. Es gab noch keine Ankündigung eines weiteren Events.
Wie Datendiebe auf Beutejagd gehen
Update: Luzerner Parlament lässt M365-Einführung weiterlaufen
VFX-Künstler zeigt eindrücklich, wie gross Dinos wirklich waren
Wie man die Cybersecurity-Forschung mitgestalten kann
Falsche Kinder bitten um Geld
BACS präsentiert Konzept für koordinierte Bewältigung von Cyberangriffen
Cyberkriminelle geben sich als Visana aus
Erste Flugstunde eines Baby-Flughörnchens
Unterwegs im Auto mit Mutti
