|
E安全7月26日讯,声名赫赫的黑客大会DEF CON今年将于8月初在拉斯维加斯举行。美国国防部高级研究计划局(the Defense Advanced Research Projects Agency,英文缩写DARPA)将为参与网络挑战赛(Cyber Grand Challenge,英文缩写CGC)的获胜参赛队伍发放共400万美元的奖金。 网络挑战赛于2014年开始举办,该挑战赛属于经典的“夺旗”(Capture The Flag)比赛。 网络挑战赛将由7支团队使用入侵其它系统、自动检测并自行修复漏洞的自动计算机程序一决高下,而不是两队安全研究人员互相交锋入侵和/或保护网络或设备。 网络挑战赛始于两年前 网络挑战赛于2014年开始举办,当时有28支团队报名参加挑战。虽然DARPA资助了几个顶尖的团队并鼓励其参与CGC,但大多数参赛团队都是自费的。 3支DARPA资助的团队与另外4支自费团队最终进入决赛。 这7支团队将于2016年8月4日举办的黑客大会DEF CON上角逐最高200万美元的奖金。 比赛时间仅为24小时 传统的夺旗比赛中,团队有48小时的时间攻破和/或防卫十个软件包赢取比赛,而CGC只有24小时的时间。 在CGC资格赛中,参赛团队必须使用131种不同的软件版本,决赛可能会更多。资格赛还会让参赛团队修复竞赛开发人员知道的所有590个漏洞。 杀入决赛的团队将获得75万美元的奖金,第一名的奖金高达200万美元。 自最后一轮资格赛后,参赛团队有13个月的时间准备决赛,有足够的时间利用新漏洞利用调整自动化黑客软件。DARPA的要求是,同样的软件还必须包含缓解技术,避免对手利用已知攻击媒介攻击自身系统。 下方对7支参赛队伍: 参赛黑客将在攻击与防御攻击方面与人工智能展开竞争。参赛选手扫描漏洞网络和服务器并报告给裁判。与人工智能竞争有助于深刻理解网络防御自动化。 决赛开始之际,每个AI选手所在的网络都会运行已知协议,并运行事先未经检查的计算机代码。这意味着,AI系统将需要先学习网络的软件语言和逻辑,然后才能开始寻找漏洞。 为了攻击对手,参赛的AI选手需要寻找网络服务器中的漏洞。每发现一个,AI选手就会告诉DAPRA的裁判,并预测这个软件崩溃可能发生的时间。就像一个台球选手在排列落袋式台球并击球之前,会先预测开球情况,比如“7号球,落到角落球袋”。 AI选手证明对手存在这些漏洞就可以得分,而如果不能保护自己的服务器和应对这些模拟攻击则会失分。这些AI选手还将必须即使创建自己的网络防御体系,保护自己的服务器免遭其他对手的攻击。这些网络安全防御体系可能会使用两种战术,Walker 解释道,第一个,你可能会创建一个通用的“二进制盔甲”,保护网络服务器的任何部分免受通用威胁。这种方法的缺点就是,会因为运行常见的计算任务而减慢服务器软件的速度。 第二个防御策略中,AI会寻找软件漏洞并用专为这些问题定制的特定补丁进行修补。对AI来说,这种反向工程和针对某个问题的“point patching”(要点修补)更有难度。但在2015年6月举办的网络挑战赛的资格赛中,决赛团队研发的AI系统确实已经能够生成这样的补丁。当时没有一个参赛者能够完全找到资格赛中出现的590个软件漏洞,但是所有参赛者发现的漏洞加在一起囊括了全部漏洞。 |
|
|
