2016 Cyber Grand Challenge (CGC) был вызов , созданный The Defense Advanced Research Проекты агентства (DARPA) в целях разработки автоматической защиты [3] системы , которые могут обнаружить, доказывающие, и исправлять дефекты программного обеспечения в режиме реального времени .
Дата | 4 августа 2016 г. [1] |
---|---|
Время | С 9:00 до 20:00 [1] |
Продолжительность | Одиннадцать часов [1] |
Место проведения | Парижский отель и конференц-центр [2] |
Место расположения | Лас-Вегас, Невада [2] |
Событие поставило машину против машины (без вмешательства человека) в так называемом «первом в мире турнире по автоматизированной сетевой защите». [4]
Заключительное мероприятие состоялось 4 августа 2016 года в отеле и конференц-центре Paris в Лас-Вегасе, штат Невада, в рамках 24-й хакерской конференции DEF CON .
По своей структуре он напоминал давние соревнования по безопасности « захват флага » (CTF), и победившая система действительно соревновалась с людьми в «классическом» DEF CON CTF, проводимом в последующие дни. Cyber Grand Challenge, однако, отличался более стандартизированной системой оценки и доказательства уязвимости: все эксплойты и исправленные двоичные файлы были представлены и оценены инфраструктурой рефери [5]
Задний план
Между преступниками, пытающимися злоупотребить уязвимостями, и аналитиками, которые оценивают, устраняют, проверяют и развертывают исправление, прежде чем можно будет нанести значительный ущерб, возникают гонки . [3] Эксперты придерживаются процесса, который включает сложные рассуждения с последующим созданием вручную каждой сигнатуры безопасности и исправления программного обеспечения, технический процесс, который требует месяцев и долларов. [3] Это привело к появлению различных уязвимостей программного обеспечения в пользу злоумышленников. [2] [3] Такие устройства, как интеллектуальные телевизоры, носимые устройства и высококлассная бытовая техника, подключенные к Интернету, не всегда производятся с учетом требований безопасности. Более того, коммунальные системы, электросети и светофоры могут быть более полезными. уязвимы для атак, утверждает DARPA. [4]
Чтобы помочь преодолеть эти проблемы, DARPA запустило в 2014 году [6] Cyber Grand Challenge: двухлетнее соревнование по созданию автоматических защитных систем, способных выявлять недостатки, разрабатывать исправления и развертывать их в сети в режиме реального времени. Соревнование было разделено на два основных мероприятия: открытое квалификационное мероприятие, которое состоится в 2015 году, и финальное мероприятие в 2016 году, в котором могут участвовать только семь лучших команд отборочного турнира. Победитель финального турнира получит 2 миллиона долларов и возможность сыграть против людей в 24-м соревновании по захвату флага DEF CON . [7]
Технология
Испытательные двоичные файлы
Двоичные файлы Challenge работали на полной 32-битной архитектуре Intel x86 , хотя и с упрощенным ABI . [8]
Уменьшение внешнего взаимодействия до его базовых компонентов (например, системных вызовов для четко определенного ввода-вывода, распределения динамической памяти и единственного источника случайности) упростило как моделирование, так и безопасный запуск двоичных файлов в изоляции для наблюдения за их поведением.
Однако внутренняя сложность была неограниченной, и проблемы доходили до реализации симулятора физики элементарных частиц, [9] шахмат, [10] языков программирования / сценариев, [11] [12] анализа огромных объемов данных разметки, [13] векторной графики. , [14] своевременная компиляция , [15] виртуальные машины , [16] и т. Д.
Сами авторы задач были оценены на основе того, насколько хорошо они различали относительную производительность игроков, поощряя задачи использовать определенные слабые стороны автоматического мышления (например, взрыв состояний), оставаясь при этом решаемыми с помощью хорошо построенных систем.
Системы игроков
Каждая игровая система - полностью автоматизированная система Cyber Reasoning System (CRS) - должна была продемонстрировать свои способности в нескольких областях компьютерной безопасности:
- Автоматический поиск уязвимостей в ранее неизвестных двоичных файлах.
- Автоматическое исправление двоичных файлов без ущерба для производительности.
- Автоматическая генерация эксплойтов в рамках ограничений фреймворка.
- Реализация стратегии безопасности: балансировка распределения ресурсов между доступными серверами (вариант проблемы многорукого бандита ), реагирование на конкурентов (например, анализ их исправлений, реакция на эксплуатацию), оценка влияния собственных действий на окончательный результат,. ..
Команды описали свой подход на разных площадках. [17] [18] Кроме того, занявший третье место (Shellphish) опубликовал исходный код всей своей системы. [19]
Из-за сложности задачи игрокам приходилось комбинировать несколько техник и делать это полностью без присмотра и с минимальными затратами времени. Например, наивысший балл атаки был достигнут за счет обнаружения уязвимостей с помощью комбинации управляемого фаззинга и символьного исполнения, то есть фаззера на основе AFL в сочетании с фреймворком двоичного анализа angr с использованием системы эмуляции и отслеживания выполнения на основе QEMU . [18]
Квалификационное мероприятие CGC (CQE)
Квалификационное мероприятие CGC (CQE) состоялось 3 июня 2015 года и длилось 24 часа. [20] У CQE было два трека: финансируемый трек для семи команд, выбранных DARPA на основе их предложений (с наградой до 750 000 долларов за команду), и открытый трек, в котором могла участвовать любая самофинансируемая команда. Более 100 команд зарегистрировались на международном уровне и 28 вышли в квалификационные соревнования. [21] Во время мероприятия командам была предоставлена 131 различная программа, и им было предложено найти уязвимости, а также исправить их автоматически, сохранив при этом производительность и функциональность. В совокупности всем командам удалось выявить уязвимости в 99 из 131 предоставленной программы. [22] После сбора всех заявок от конкурентов DARPA оценило все команды на основе их способности исправлять ошибки и находить уязвимости.
Семь лучших команд и финалистов в алфавитном порядке были: [23]
- CodeJitsu, команда исследователей из Калифорнийского университета в Беркли, Киберхейвене и Сиракузах (финансируемый трек).
- CSDS, группа исследователей из Университета Айдахо (открытый трек).
- Deep Red, команда специализированных инженеров из Raytheon (открытая трасса).
- disekt, группа компьютерной безопасности, которая участвует в различных соревнованиях по безопасности Capture the Flag, проводимых другими командами, университетами и организациями (открытый трек).
- ForAllSecure, стартап по безопасности, состоящий из исследователей и экспертов по безопасности (финансируемый трек).
- Shellphish, команда хакеров из Калифорнийского университета в Санта-Барбаре (открытый трек).
- TECHx, команда экспертов по анализу программного обеспечения из GrammaTech , Inc. и Университета Вирджинии (финансируемая программа).
После квалификации каждая из семи вышеперечисленных команд получила финансирование в размере 750 000 долларов США на подготовку к финальному мероприятию.
Финальное мероприятие CGC (CFE)
Финальное мероприятие CGC (CFE) прошло 4 августа 2016 года и длилось 11 часов. [3] Во время финального соревнования финалисты увидели, как их машины столкнулись друг с другом в полностью автоматическом соревновании по захвату флага. [4] Каждая из семи квалификационных команд боролась за три верхние позиции, которые разделят почти 4 миллиона долларов призовых. [4]
Окончательные результаты
Системы-победители финального события Cyber Grand Challenge (CGC):
- «Mayhem» [24] - разработан ForAllSecure, Питтсбург, Пенсильвания - 2 миллиона долларов.
- «Xandra» - разработана командой TECHx, состоящей из GrammaTech Inc., Итака, штат Нью-Йорк, и UVa, Шарлоттсвилль, штат Вирджиния - 1 миллион долларов.
- "Mechanical Phish" - разработан Shellphish, Калифорнийский университет в Санта-Барбаре, Калифорния. - 750 000 долл. США
Другими конкурирующими системами были:
- Rubeus [24] - разработан Майклом Стивенсоном, Raytheon, Deep Red из Арлингтона, штат Вирджиния.
- Galactica - разработана CodeJitsu из Беркли, Калифорния, Сиракузы, Нью-Йорк, и Лозанны, Швейцария.
- Джима - разработан ЦСУД г. Москвы, ид.
- Crspy - система, разработанная Disekt of Athens, Ga.
Рекомендации
- ^ a b c «Информация о событии Cyber Grand Challenge для финалистов» (PDF) . Cybergrandchallenge.com . Архивировано из оригинального (PDF) 28 апреля 2017 года . Проверено 17 июля 2016 года .
- ^ а б в «Cyber Grand Challenge (CGC) стремится автоматизировать процесс киберзащиты» . Cybergrandchallenge.com . Архивировано из оригинала на 1 августа 2016 года . Проверено 17 июля 2016 года .
- ^ а б в г д Уокер, Майкл. «Развивается гонка между злоумышленниками, намеревающимися использовать уязвимость, и аналитиками, которые должны оценить, исправить, протестировать и развернуть исправление, прежде чем можно будет нанести значительный ущерб» . darpa.mil . Проверено 17 июля 2016 года .
- ^ а б в г Уйено, Грег (5 июля 2016 г.). «Умные телевизоры, носимые технологии, инженерные сети, электросети и многое другое, склонное к кибератакам» . Живая наука . Проверено 17 июля 2016 года .
- ^ «CRS Team Interface API» . - в отличие от классических CTF-игр, в которых игроки напрямую атакуют друг друга и свободно меняют свои виртуальные машины.
- ^ Чанг, Кеннет (02.06.2014). «Автоматизация кибербезопасности» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 6 сентября 2016 .
- ^ Касательная, темнота. "DEF CON® 24 Hacking Conference" . defcon.org . Проверено 6 сентября 2016 .
- ^ «CGC ABI» .
- ^ «CROMU_00002» .
- ^ «CROMU_00005» .
- ^ "KPRCA_00038" .
- ^ "KPRCA_00028" .
- ^ «CROMU_00015» .
- ^ «CROMU_00018» .
- ^ «KPRCA_00002» .
- ^ «KPRCA_00014» .
- ^ Специальный выпуск журнала IEEE Security & Privacy: «Взлом без людей» . Безопасность и конфиденциальность IEEE . Компьютерное общество IEEE. 16 (2). Март 2018. ISSN 1558-4046 .
- ^ a b Публикации по отдельным компонентам, например, Shellphish Стивенс Н., Гросен Дж., Саллс С., Датчер А., Ван Р., Корбетта Дж., Шошитаишвили Ю., Крюгель С., Винья Г. (2016). Driller: Расширение фаззинга за счет выборочного символьного исполнения (PDF) . Симпозиум по безопасности сетей и распределенных систем (NDSS). 16 .
- ^ https://github.com/mechaphish
- ^ «Cyber Grand Challenge» . Архивировано из оригинала на 2016-09-11.
- ^ «DARPA Cyber Grand Challenge: взгляд конкурента» .
- ^ «Легитимный бизнес-синдикат: что такое кибер-грандиозный вызов?» . blog.legitbs.net . Проверено 6 сентября 2016 .
- ^ «DARPA | Cyber Grand Challenge» . www.cybergrandchallenge.com . Архивировано из оригинала на 2016-08-01 . Проверено 6 сентября 2016 .
- ^ а б «Mayhem занимает первое место в CGC» . 7 августа 2016 . Проверено 13 августа 2016 года .
Внешние ссылки
- DARPA Cyber Grand Challenge (в архиве)
- Образцы Cyber Grand Challenge
- Портал для участников DARPA Cyber Grand Challenge (в архиве)
- Официальные видео DARPAtv, включая финал и его анализ