'Mayhem' Nanalo ng isang DARPA Contest sa pamamagitan ng pag-hack ng mga karibal nito sa unahan ng DEF CON

Ang isang sistema na tinatawag na labanan ay idineklara ang mapagpalagay na nagwagi ng isang groundbreaking na bagong kumpetisyon na nagbubuga ng makina laban sa makina. Ang Cyber ​​Grand Challenge (CGC), na pinangasiwaan ng DARPA lab ng Kagawaran ng Tanggulan ng U.S., ay inilarawan ang sarili bilang unang kumpetisyon sa lahat ng pag-hack sa buong mundo. Ang laro ay walang kinalaman sa pakikipag-ugnayan ng tao - ang mga sistema ay hinamon upang tuklasin, ayusin, at pagsamantalahan ang mga bug sa mga segundo na maaaring hindi natuklasang para sa mga buwan.

Nagtapos ang CGC sa isang grand final sa Las Vegas Huwebes ng gabi bago ang DEF CON hacking convention. Ang katapusan ng isang tatlong-taong kumpetisyon, ang grand prize ng CGC na $ 2 milyon na cash hunhon ang ilan sa mga pinakamahusay na isip sa cybersecurity upang ibigay ito sa kanilang lahat.

Inaasahan na labanan ang labanan upang makipagkumpetensya laban sa mga tao sa Biyernes sa DEF CON. Ito ang unang pagkakataon na nakilahok ang isang makina sa kumpetisyon ng "Kumuha ng Flag" ng DEF CON.

"Maaaring ito ang katapusan ng Cyber ​​Grand Challenge ng DARPA ngunit ito ay simula lamang ng isang rebolusyon sa seguridad ng software," sabi ni Mike Walker, ang program manager ng DARPA na naglunsad ng hamon noong 2013, sa isang pahayag.

Sa CGC, pitong ganap na automated na sistema ay nakipagkumpitensya sa isang 96-round final na sumasaklaw ng halos 10 oras. Sa oras na iyon, pinag-aralan nila ang mga programang espesyal na isinulat, sinubukan upang makahanap ng mga bahid na magiging dahilan upang sila ay "mamatay," at naayos ito. Kasabay nito, ang mga sistema ay naglalayong gamitin ang mga kakulangan ng kanilang karibal bago sila maipagtanggol.

Si Propesor David Brumley, isang co-founder ng team FormallSecure ng Mayhem, ay isang madamdamin na tagapagtaguyod para sa CGC. Sa isang post sa blog bago ang pangwakas, ipinaliwanag niya na ang kumpetisyon ay nagbibigay sa mga mananaliksik ng pagkakataong ihambing, iibahin, at isagawa ang mga pinakamahusay na paraan ng mga sistema ay maaaring awtomatikong ayusin ang kanilang mga sarili.

Team @ForAllSecure na may isang araw na natitira bago ang paligsahan ng #DARPACGC. pic.twitter.com/FkjRMQUhFD

- David Brumley (@thedavidbrumley) Agosto 3, 2016

"Mag-isip tungkol dito: kung maaari naming bumuo ng mga computer na maaaring awtomatikong makahanap ng mga kahinaan, pagkatapos ay ang mga mahusay na guys ay maaaring ayusin ang mga ito muna," sinabi Brumley.

ForAllSecure ipinaliwanag na ang pangwakas na labanan ng sistema ay aktwal na gumagana sa dalawang bahagi: ang Mayhem symbolic executor, at isang direktang fuzzer na tinatawag na Murphy (pinangalanang miyembro ng pangkat na si John Davis 'cat). Hindi tulad ng mas mabagal na pag-aaral ng symbolic executor, ang mga programa ng pagsusubok ng mga fuzz sa pamamagitan ng pagpapakain sa kanila ng malalaking halaga ng random na data. Si Murphy ay mahusay para sa mabilis na paghahanap ng mga simpleng mga bug, na nag-iiwan ng labanan upang makahanap ng mas malalim, mas kumplikadong mga isyu. Ang dalawang usap sa bawat isa sa pamamagitan ng isang database, paghahambing ng mga resulta.

Ang labanan ay maaaring nanalo sa labanan, ngunit ito ay simula lamang. Ang pambihirang tagumpay ay may posibilidad na baguhin ang mga industriya - Tinataya ng DARPA na karaniwan na ang mga pinagsamantalahan ay hindi na natuklasang para sa mga 10 buwan.

"Sa parehong paraan na ang unang kapatid na Wright brothers 'flight - kahit na ito ay hindi pumunta masyadong malayo - inilunsad ang isang tanikala ng mga kaganapan na mabilis na ginawa sa mundo ng isang mas maliit na lugar, kami ngayon ay nakita para sa unang pagkakataon pagsasarili na kinasasangkutan ng uri ng pangangatwiran na kailangan para sa cyber defense, "sabi ni Walker. "Iyon ay isang malaking isulong kumpara sa kung saan ang mundo ng pagtatanggol sa cyber ay kahapon."