Pentagon Bot Battle laat zien hoe computers hun eigen gebreken kunnen herstellen

Het is misschien wel de minst spectaculaire show die ooit een podium in Las Vegas siert.





Enkele honderden mensen verzamelden zich donderdag in een danszaal van een casino om zeven krachtige computers ter grootte van een kledingkast te zien oplichten met knipperende LED's. Onzichtbaar besteedde elke machine uren aan het proberen software aan te vallen die op de andere computers op het podium draaide, terwijl ze zichzelf ook verdedigden tegen inkomende aanvallen.

De duistere wedstrijd en de hoofdprijs van $ 2 miljoen zouden ertoe kunnen leiden dat internet en computers in het algemeen veel veiliger worden. De Cyber ​​Grand Challenge vond plaats op de DEF MET hackconferentie door het Defense Advanced Research Projects Agency van het Pentagon om de uitvinding van software aan te moedigen die automatisch beveiligingsfouten kan opsporen, testen en herstellen. Dat zou een revolutie teweeg kunnen brengen in de strijd tegen problemen zoals criminelen die zwakke plekken in de beveiliging misbruiken om elk jaar miljoenen consumentengegevens te stelen.

De menigte in het casino van Parijs juichte toen de software gebouwd door beveiligingsbedrijf ForAllSecure laat op donderdag werd uitgeroepen tot voorlopige winnaar. De definitieve bevestiging van het resultaat komt vrijdagochtend nadat DARPA de datalogs van de wedstrijd heeft geanalyseerd.



David Brumley , de Carnegie Mellon University-professor die medeoprichter was van ForAllSecure, zei dat hij geloofde dat het resultaat bewees dat het mogelijk was dat software autonoom bepaalde beveiligingsproblemen oplost. We beschouwen dit als de eerste stap, zei hij.

ForAllSecure en de andere zes teams moesten elk een bot ontwikkelen om op een krachtige, watergekoelde computer te draaien en een verzameling van bijna honderd programma's te beheren die voor de wedstrijd waren gemaakt. Die programma's waren losjes gemodelleerd naar pakketten die op een webserver te vinden zouden kunnen zijn en opzettelijk ontworpen met beveiligingsfouten.

DARPA's Cyber ​​Grand Challenge

De bots van elk team verdienden punten voor het repareren van fouten in programma's die onder hun hoede waren, ze draaiende te houden en de programma's van andere teams te onderzoeken om niet-gefixeerde kwetsbaarheden te identificeren. Bots kregen de programma's die ze voor de wedstrijd moesten verzorgen niet te zien.

Veel beveiligingsbedrijven, beveiligingsonderzoekers en criminele hackers gebruiken tools die het proces van het analyseren van software op mogelijke kwetsbaarheden automatiseren. Maar het werk van het maken en implementeren van patches voor beveiligingsfouten valt uitsluitend op mensen, zei Mike Walker , de DARPA-programmamanager die het werk aan de wedstrijd leidde. De reden dat het een 'grote uitdaging' is, is dat geen van die mogelijkheden is geautomatiseerd, zei hij.

Walker erkende dat sommige van de getoonde geautomatiseerde mogelijkheden uiteindelijk zouden kunnen worden gebruikt om computernetwerken aan te vallen en te verdedigen. Maar hij beweerde dat het feit dat DARPA de wedstrijd in het openbaar hield en alle gegevens ervan publiceert, de technologie zal kantelen in de richting van het bieden van bescherming. Alle computerbeveiligingstools zijn voor tweeërlei gebruik', zei hij. 'Het verschil tussen offensief en defensief gebruik is vaak openheid.'

Peter Lee , die de onderzoeksinspanningen van Microsoft leidt en het evenement van donderdag bijwoonde, zei dat het automatisch kunnen genereren van fixes voor beveiligingsfouten softwarebedrijven zou helpen hun producten veel veiliger te maken. Het zou een heel groot probleem zijn voor iets als Windows of Office, zei hij.

Tim Bryant, van defensieaannemer Raytheon, zei dat hij verwachtte technologie te gebruiken die is ontwikkeld voor de Rubeus-bot van het bedrijf met klanten van de beveiligingsactiviteiten van het bedrijf. Complexe systemen zoals stroomnetwerken die afhankelijk zijn van vele soorten hardware, software en computers, kunnen baat hebben bij betere manieren om kwetsbaarheden op te sporen of te verhelpen, zei hij. Ik denk dat we met kritieke infrastructuurbedrijven zullen praten, dit zou hen echt kunnen helpen, zei Bryant.

Het feit dat zes van de tientallen fouten waarmee de bots te maken hadden, gebaseerd waren op echte kwetsbaarheden die online veel schade hebben veroorzaakt, kan ook het praktische potentieel van de technologie aantonen.

De teams hebben samen vijf van de klassieke fouten verholpen, waaronder de Morris Worm die het internet in 1988 verlamde en de Heartbleed-bug die in 2014 werd onthuld en die de codering zou kunnen doorbreken die online transacties beschermt. De Jima-bot, van de Universiteit van Idaho, vond en repareerde zelfs een fout die niet opzettelijk in de wedstrijdprogramma's was opgenomen, maar per ongeluk was opgetreden.

De wedstrijd toonde echter ook enkele beperkingen van beveiligingsbots. De winnaar, Mayhem, kreeg te maken met een crash waardoor het een tijdlang geen nieuwe patches kon genereren of andere teams kon onderzoeken. Eén oplossing die door Raytheon's Rubeus-bot werd gebruikt, werkte, maar was te complex en nam de rekenkracht weg van andere programma's die op dezelfde computer draaiden.

De winnende bot zal vrijdag opnieuw strijden in DEF CON's jaarlijkse wedstrijd voor menselijke hackers, ook wel bekend als Capture the Flag of CTF. Een hacker die bekend staat als Gynophage, een van de CTF-organisatoren, zei van wat hij van de bots zag, dat de winnaar geen opdringer zou moeten zijn. Het zou absoluut in de top vijf kunnen staan, maar uiteindelijk denken we dat het zal worden overwonnen door het aanpassingsvermogen van mensen, zei hij.

Walker van DARPA gelooft dat de bot een kans heeft om korte tijd de leiding te nemen bij de start van de wedstrijd van vrijdag, omdat software sneller kan handelen dan een persoon. Op langere termijn ziet hij bots die software repareren en beschermen die samen met mensen werkt, en niet helemaal vervangen.

We zien de toekomst van netwerkverdediging meer als een partnerschap, zei Walker. DARPA overweegt een tweede hackwedstrijd te houden waarin mensen en bots samenwerken.

zich verstoppen