Кибер Гранд Челлендж 2016

Cyber ​​Grand Challenge (CGC) 2016 года — это конкурс, организованный Агентством перспективных исследовательских проектов Министерства обороны США (DARPA) с целью разработки автоматических систем защиты ^[3] , которые могут обнаруживать, доказывать и исправлять недостатки программного обеспечения в режиме реального времени .

В ходе мероприятия машина сражалась с машиной (без вмешательства человека) в так называемом «первом в мире турнире по защите автоматизированных сетей». ^[4]

Финальное мероприятие состоялось 4 августа 2016 года в Paris Hotel & Conference Center в Лас-Вегасе, штат Невада, в рамках 24-й хакерской конвенции DEF CON .

По своей структуре он напоминал давние соревнования по безопасности « захват флага » (CTF), и победившая система действительно соревновалась с людьми в «классическом» DEF CON CTF, который проводился в последующие дни. Однако Cyber ​​Grand Challenge отличался более стандартизированной системой подсчета очков и доказательства уязвимости: все эксплойты и исправленные двоичные файлы отправлялись и оценивались инфраструктурой рефери. ^[5]

Помимо CGC, DARPA также проводит конкурсы на получение призов в других областях технологий.

Фон

Развивается гонка между преступниками, пытающимися злоупотребить уязвимостями, и аналитиками, которые оценивают, исправляют, проверяют и устанавливают исправление до того, как будет нанесен значительный ущерб. ^[3] Эксперты придерживаются процесса, который включает в себя сложные рассуждения с последующим ручным созданием каждой сигнатуры безопасности и исправления программного обеспечения, технический процесс, требующий месяцев и долларов. ^[3] Это привело к различным уязвимостям программного обеспечения, благоприятствующим злоумышленникам. ^{[2] [3]} Такие устройства, как смарт-телевизоры, носимые устройства и высококачественная бытовая техника, подключенная к Интернету, не всегда производятся с учетом безопасности, и, более того, коммунальные системы, электросети и светофоры могут быть более уязвимы для атак, утверждает DARPA. ^[4]

Чтобы помочь преодолеть эти проблемы, DARPA запустила в 2014 году ^[6] Cyber ​​Grand Challenge: двухлетнее соревнование, направленное на создание автоматических защитных систем, способных рассуждать о недостатках, формулировать исправления и развертывать их в сети в режиме реального времени. Соревнование было разделено на два основных события: открытое квалификационное событие, которое должно было состояться в 2015 году, и финальное событие в 2016 году, в котором могли участвовать только семь лучших команд из квалификационных. Победитель финального события получит 2 миллиона долларов и возможность сыграть против людей в 24-м соревновании DEF CON capture the flag. ^[7]

Технологии

Вызов двоичных файлов

Challenge Binaries работал на полной 32-битной архитектуре Intel x86 , хотя и с упрощенным ABI . ^[8]

Сведение внешнего взаимодействия к его базовым компонентам (например, системным вызовам для четко определенного ввода-вывода, динамическому распределению памяти и единому источнику случайности) упростило как моделирование, так и безопасный запуск двоичных файлов в изоляции для наблюдения за их поведением.

Однако внутренняя сложность не ограничивалась, и проблемы заходили так далеко, как реализация симулятора физики элементарных частиц, ^[9] шахмат, ^[10] языков программирования/скриптинга, ^{[11] [12]} анализа огромных объемов данных разметки, ^[13] векторной графики, ^[14] оперативной компиляции , ^[15] виртуальных машин , ^[16] и т. д.

Авторы задач сами оценивались на основе того, насколько хорошо они различали относительные результаты игроков, поощряя задачи, направленные на выявление конкретных слабостей автоматического мышления (например, взрывного состояния), при этом оставаясь разрешимыми для хорошо построенных систем.

Системы проигрывателей

Каждая игровая система — полностью автоматизированная «система киберрассуждений» (CRS) — должна была продемонстрировать способности в нескольких областях компьютерной безопасности:

• Автоматический поиск уязвимостей в ранее неизвестных двоичных файлах.
• Автоматическое исправление двоичных файлов без потери производительности.
• Автоматическая генерация эксплойтов в рамках ограничений фреймворка.
• Реализация стратегии безопасности: балансировка распределения ресурсов между доступными серверами (вариация задачи многорукого бандита ), реагирование на действия конкурентов (например, анализ их исправлений, реагирование на эксплуатацию), оценка влияния собственных действий на конечный результат, ...

Команды описывали свой подход на разных площадках. ^{[17] [18]} Кроме того, занявший третье место участник (Shellphish) опубликовал исходный код всей своей системы. ^[19]

Из-за сложности задачи игрокам пришлось объединить несколько техник и сделать это полностью автоматически и эффективно по времени. Например, наивысший балл атаки был достигнут путем обнаружения уязвимостей с помощью комбинации управляемого фаззинга и символического выполнения — т. е. фаззера на основе AFL в сочетании с фреймворком бинарного анализа angr, использующего эмуляцию на основе QEMU и систему трассировки выполнения. ^[18]

Квалификационное мероприятие CGC (CQE)

Квалификационное мероприятие CGC (CQE) состоялось 3 июня 2015 года и длилось 24 часа. ^[20] В CQE было два трека: финансируемый трек для семи команд, выбранных DARPA на основе их предложений (с премией до 750 000 долларов на команду) и открытый трек, в котором могла принять участие любая самофинансируемая команда. Более 100 команд зарегистрировались на международном уровне, и 28 из них достигли квалификационного мероприятия. ^[21] Во время мероприятия командам было предоставлено 131 различная программа, и им было предложено найти уязвимости, а также автоматически исправить их, сохранив производительность и функциональность. В совокупности всем командам удалось обнаружить уязвимости в 99 из 131 предоставленных программ. ^[22] После сбора всех заявок от участников DARPA ранжировало все команды на основе их способностей к исправлению и поиску уязвимостей.

Семь лучших команд и финалистов в алфавитном порядке: ^[23]

• CodeJitsu, группа исследователей из Калифорнийского университета в Беркли, Cyberhaven и Сиракуз (финансируемое направление).
• CSDS, группа исследователей из Университета Айдахо (открытый поток).
• Deep Red, команда специализированных инженеров Raytheon (открытый путь).
• disekt — команда по компьютерной безопасности, которая участвует в различных соревнованиях по безопасности Capture the Flag, проводимых другими командами, университетами и организациями (открытый турнир).
• ForAllSecure — стартап в сфере безопасности, состоящий из исследователей и экспертов по безопасности (финансируемое направление).
• Shellphish, хакерская команда из Калифорнийского университета в Санта-Барбаре (открытый трек).
• TECHx, команда экспертов по анализу программного обеспечения из GrammaTech , Inc. и Университета Вирджинии (финансируемое направление).

После квалификации каждая из семи вышеперечисленных команд получила финансирование в размере 750 000 долларов США для подготовки к финальному мероприятию.

Финальное мероприятие CGC (CFE)

Финальное мероприятие CGC (CFE) состоялось 4 августа 2016 года и длилось 11 часов. ^[3] Во время финального мероприятия финалисты увидели, как их машины столкнулись друг с другом в полностью автоматическом соревновании по захвату флага. ^[4] Каждая из семи квалификационных команд соревновалась за первые три позиции, которые разделили бы почти 4 миллиона долларов призового фонда. ^[4]

Окончательные результаты

Победителями финального турнира Cyber ​​Grand Challenge (CGC) стали следующие системы:

1. «Mayhem» ^[24] — разработано ForAllSecure, Питтсбург, Пенсильвания — 2 миллиона долларов
2. «Xandra» — разработано командой TECHx, состоящей из GrammaTech Inc., Итака, Нью-Йорк, и UVa, Шарлоттсвилл, Вирджиния — 1 миллион долларов
3. «Mechanical Phish» — разработан Shellphish , Калифорнийский университет в Санта-Барбаре, Калифорния — 750 000 долларов США

Другими конкурирующими системами были:

• Rubeus ^[24] — разработан Raytheon, Deep Red из Арлингтона, штат Вирджиния.
• Galactica — разработана CodeJitsu из Беркли, Калифорния, Сиракуз, Нью-Йорк, и Лозанны, Швейцария.
• Джима - разработка ЦСДС г. Москвы, Ид.
• Crspy — система, разработанная Disekt из Афин, Джорджия.

Смотрите также

• Конкурсы на приз DARPA

Ссылки

1. "Информация о мероприятии Cyber ​​Grand Challenge для финалистов" (PDF) . Cybergrandchallenge.com . Архивировано из оригинала (PDF) 28 апреля 2017 г. . Получено 17 июля 2016 г. .
2. "The Cyber ​​Grand Challenge (CGC) стремится автоматизировать процесс киберзащиты". Cybergrandchallenge.com . Архивировано из оригинала 1 августа 2016 года . Получено 17 июля 2016 года .
3. Уокер, Майкл. «Начинается гонка между злоумышленниками, намеревающимися воспользоваться уязвимостью, и аналитиками, которые должны оценить, исправить, протестировать и установить исправление, прежде чем будет нанесен значительный ущерб». darpa.mil . Получено 17 июля 2016 г.
4. Uyeno, Greg (5 июля 2016 г.). «Умные телевизоры, носимые технологии, коммунальные системы, электросети и многое другое подвержено кибератакам». Live Science . Получено 17 июля 2016 г.
5. "API интерфейса CRS Team". GitHub .-- в отличие от классических игр CTF, в которых игроки напрямую атакуют друг друга и свободно меняют свои собственные виртуальные машины
6. Чанг, Кеннет (2014-06-02). «Автоматизация кибербезопасности». The New York Times . ISSN  0362-4331 . Получено 06.09.2016 .
7. Tangent, The Dark. "DEF CON® 24 Hacking Conference". defcon.org . Получено 06.09.2016 .
8. "CGC ABI". GitHub .
9. "CROMU_00002". GitHub .
10. "CROMU_00005". GitHub .
11. "KPRCA_00038". GitHub .
12. "KPRCA_00028". GitHub .
13. "CROMU_00015". GitHub .
14. "CROMU_00018". GitHub .
15. "KPRCA_00002". GitHub .
16. "KPRCA_00014". GitHub .
17. Специальный выпуск журнала IEEE Security & Privacy: «Hacking Without Humans». IEEE Security & Privacy . 16 (2). IEEE Computer Society. Март 2018. ISSN  1558-4046.
18. Публикации по отдельным компонентам, например, Shellphish's Stephens N, Grosen J, Salls C, Dutcher A, Wang R, Corbetta J, Shoshitaishvili Y, Kruegel C, Vigna G (2016). Driller: Augmenting Fuzzing Through Selective Symbolic Execution (PDF) . Симпозиум по безопасности сетей и распределенных систем (NDSS). Том 16.
19. "Механический фишинг". GitHub .
20. "Cyber ​​Grand Challenge". Архивировано из оригинала 2016-09-11.
21. «DARPA Cyber ​​Grand Challenge: точка зрения конкурента».
22. «Законный бизнес-синдикат: что такое Cyber ​​Grand Challenge?». blog.legitbs.net . Получено 06.09.2016 .
23. "DARPA | Cyber ​​Grand Challenge". www.cybergrandchallenge.com . Архивировано из оригинала 2016-08-01 . Получено 2016-09-06 .
24. "Mayhem занимает первое место на CGC". 7 августа 2016 г. Получено 13 августа 2016 г.

Внешние ссылки

• DARPA Cyber ​​Grand Challenge (Архив)
• Образцы Cyber ​​Grand Challenge
• Портал участников DARPA Cyber ​​Grand Challenge (Архив)
• Официальные видео DARPAtv, включая финал и его анализ