Jump to content

Кибер-гранд-вызов 2016 г.

    Add links
    (Перенаправлено из Cyber ​​Grand Challenge )
    Кибер-гранд-вызов (CGC)
    Дата 4 августа 2016 г. [1]
    Время с 9:00 до 20:00 [1]
    Продолжительность Одиннадцать часов [1]
    Место проведения Париж Отель & Конференц-Центр [2]
    Расположение Лас-Вегас, Невада [2]

    Cyber ​​Grand Challenge (CGC) 2016 года — это конкурс, созданный Агентством передовых оборонных исследовательских проектов (DARPA) с целью разработки автоматической защиты. [3] системы, которые могут обнаруживать, доказывать и исправлять недостатки программного обеспечения в режиме реального времени .

    На этом мероприятии машины сражались против машин (без вмешательства человека) в так называемом «первом в мире турнире по автоматизированной сетевой защите». [4]

    Финальное мероприятие состоялось 4 августа 2016 года в отеле и конференц-центре Paris в Лас-Вегасе, штат Невада, в рамках 24-го хакерского съезда DEF CON .

    По структуре это напоминало давние соревнования по безопасности « Захват флага » (CTF), и победившая система действительно соревновалась с людьми в «классическом» DEF CON CTF, проходившем в последующие дни.Однако в Cyber ​​Grand Challenge использовалась более стандартизированная система подсчета очков и доказательства уязвимостей: все эксплойты и исправленные двоичные файлы отправлялись и оценивались инфраструктурой рефери. [5]

    Помимо CGC, DARPA также проводило конкурсы на призы в других областях технологий.

    Фон

    [ редактировать ]

    Между преступниками, пытающимися злоупотребить уязвимостями, и аналитиками, которые оценивают, исправляют, проверяют и устанавливают исправления, возникает борьба, прежде чем можно будет нанести значительный ущерб. [3] Эксперты придерживаются процесса, который включает в себя сложные рассуждения, за которыми следует ручное создание каждой подписи безопасности и исправления программного обеспечения, — технический процесс, который требует месяцев и долларов. [3] Это привело к возникновению различных проблем с безопасностью программного обеспечения, благоприятствующих злоумышленникам. [2] [3] Такие устройства, как интеллектуальные телевизоры, носимые устройства и высококлассная бытовая техника, подключенная к Интернету, не всегда производятся с учетом безопасности, и, кроме того, коммунальные системы, электросети и светофоры могут быть более восприимчивы к атакам, говорит ДАРПА. [4]

    Чтобы помочь преодолеть эти проблемы, DARPA запустило в 2014 году [6] Cyber ​​Grand Challenge: двухлетний конкурс, направленный на создание автоматических защитных систем, способных анализировать недостатки, разрабатывать исправления и развертывать их в сети в режиме реального времени. Соревнование было разделено на два основных мероприятия: открытую квалификацию, которая состоится в 2015 году, и финальное мероприятие в 2016 году, в котором могли принять участие только семь лучших команд квалификации. Победитель финального турнира получит 2 миллиона долларов и возможность сыграть против людей в 24-м соревновании DEF CON по захвату флага. [7]

    Технология

    [ редактировать ]

    Вызов двоичных файлов

    [ редактировать ]

    Двоичные файлы Challenge работали на полной 32-битной архитектуре Intel x86 , хотя и с упрощенным ABI . [8]

    Сокращение внешнего взаимодействия до его базовых компонентов (например, системных вызовов для четко определенного ввода-вывода, динамического распределения памяти и единого источника случайности) упростило как моделирование, так и безопасный изолированный запуск двоичных файлов для наблюдения за их поведением.

    Однако внутренняя сложность не была ограничена, и проблемы доходили до реализациисимулятор физики элементарных частиц, [9] шахматы, [10] языки программирования/скриптов, [11] [12] анализ огромных объемов данных разметки, [13] векторная графика, [14] компиляция точно в срок , [15] виртуальные машины , [16] и т. д.

    Авторы задач сами получали баллы на основе того, насколько хорошо они различали относительную производительность игроков, поощряя задачи использовать определенные слабости автоматического рассуждения (например, взрыв состояния), оставаясь при этом решаемыми с помощью хорошо построенных систем.

    Системы игроков

    [ редактировать ]

    Каждая игровая система — полностью автоматизированная «Система киберразумения» (CRS) — должна была продемонстрировать способности в нескольких областях компьютерной безопасности:

    • Автоматический поиск уязвимостей в ранее неизвестных двоичных файлах.
    • Автоматическое исправление двоичных файлов без ущерба для производительности.
    • Автоматическая генерация эксплойтов в рамках ограничений фреймворка.
    • Реализация стратегии безопасности: балансирование распределения ресурсов между доступными серверами (разновидность проблемы многорукого бандита ), реагирование на конкурентов (например, анализ их исправлений, реагирование на эксплуатацию), оценка влияния собственных действий на итоговый балл. ..

    Команды описали свой подход на различных площадках. [17] [18] Кроме того, компания Shellphish, занявшая третье место, опубликовала исходный код всей своей системы. [19]

    Из-за сложности задачи игрокам приходилось комбинировать несколько техник и делать это полностью автоматически и с минимальными затратами времени.Например, наивысшая оценка атаки была достигнута за счет обнаружения уязвимостей с помощью комбинации управляемого фаззинга и символического выполнения — то есть фаззера на основе AFL в сочетании со структурой бинарного анализа angr , использующей на основе QEMU . систему эмуляции и отслеживания выполнения [18]

    Квалификационное мероприятие CGC (CQE)

    [ редактировать ]

    Квалификационное мероприятие CGC (CQE) состоялось 3 июня 2015 года и длилось 24 часа. [20] У CQE было два направления: финансируемое для семи команд, выбранных DARPA на основе их предложений (с вознаграждением до 750 000 долларов за команду), и открытое, в котором могла участвовать любая самофинансируемая команда. Более 100 команд зарегистрировались на международном уровне и 28 прошли квалификацию. [21] В ходе мероприятия командам была предоставлена ​​131 различная программа, и им было предложено найти уязвимости, а также автоматически их исправить, сохранив при этом производительность и функциональность. В совокупности всем командам удалось выявить уязвимости в 99 из 131 предоставленной программы. [22] Собрав все материалы от конкурентов, DARPA оценило все команды на основе их способности устанавливать исправления и находить уязвимости.

    Семь лучших команд и финалистов в алфавитном порядке составили: [23]

    • CodeJitsu, команда исследователей из Калифорнийского университета в Беркли, Киберхейвене и Сиракузах (финансируемый трек).
    • CSDS, группа исследователей из Университета Айдахо (открытый курс).
    • Deep Red, команда специализированных инженеров Raytheon (открытый трек).
    • disekt, команда компьютерной безопасности, которая участвует в различных соревнованиях по безопасности Capture the Flag, проводимых другими командами, университетами и организациями (открытый трек).
    • ForAllSecure, стартап в области безопасности, состоящий из исследователей и экспертов по безопасности (финансируемый вариант).
    • Shellphish, команда хакеров из Калифорнийского университета в Санта-Барбаре (открытый курс).
    • TECHx, команда экспертов по анализу программного обеспечения из компании GrammaTech , Inc. и Университета Вирджинии (финансируемая программа).

    После квалификации каждая из семи вышеперечисленных команд получила финансирование в размере 750 000 долларов США на подготовку к финальному турниру.

    Финальное мероприятие CGC (CFE)

    [ редактировать ]

    Финальное мероприятие CGC (CFE) состоялось 4 августа 2016 года и длилось 11 часов. [3] Во время финального соревнования финалисты увидели, как их машины сталкиваются друг с другом в полностью автоматическом соревновании по захвату флага. [4] Каждая из семи квалификационных команд боролась за первые три места, которые разделили почти 4 миллиона долларов призовых. [4]

    Окончательные результаты

    [ редактировать ]

    Победившими системами финального события Cyber ​​Grand Challenge (CGC) стали:

    1. "Хаос" [24] - разработано компанией ForAllSecure, Питтсбург, Пенсильвания - 2 миллиона долларов.
    2. «Xandra» — разработана командой TECHx, состоящей из GrammaTech Inc., Итака, штат Нью-Йорк, и UVa, Шарлоттсвилл, Вирджиния — 1 миллион долларов.
    3. «Механический фиш» — разработан Shellphish , Калифорнийский университет, Санта-Барбара, Калифорния. - 750 000 долларов США

    Другими конкурирующими системами были:

    • Красный [24] - разработан компанией Raytheon, Deep Red из Арлингтона, штат Вирджиния.
    • Galactica — разработана CodeJitsu из Беркли, Калифорния, Сиракуз, штат Нью-Йорк, и Лозанны, Швейцария.
    • Пятница - разработан ЦДС Москвы, Ид.
    • Crspy — система, разработанная дисектом из Афин, штат Джорджия.

    См. также

    [ редактировать ]

    Ссылки

    [ редактировать ]
    1. ^ Jump up to: а б с «Информация о мероприятии Cyber ​​Grand Challenge для финалистов» (PDF) . Cybergrandchallenge.com . Архивировано из оригинала (PDF) 28 апреля 2017 года . Проверено 17 июля 2016 г.
    2. ^ Jump up to: а б с «The Cyber ​​Grand Challenge (CGC) направлен на автоматизацию процесса киберзащиты» . Cybergrandchallenge.com . Архивировано из оригинала 1 августа 2016 года . Проверено 17 июля 2016 г.
    3. ^ Jump up to: а б с д и Уокер, Майкл. «Начинается гонка между злоумышленниками, намеревающимися воспользоваться уязвимостью, и аналитиками, которые должны оценить, исправить, протестировать и установить исправление, прежде чем будет нанесен значительный ущерб» . darpa.mil . Проверено 17 июля 2016 г.
    4. ^ Jump up to: а б с д Уено, Грег (5 июля 2016 г.). «Умные телевизоры, носимые технологии, коммунальные системы, электросети и многое другое склонны к кибератакам» . Живая наука . Проверено 17 июля 2016 г.
    5. ^ «API командного интерфейса CRS» . Гитхаб . -- в отличие от классических игр CTF, в которых игроки напрямую атакуют друг друга и свободно меняют свои виртуальные машины.
    6. ^ Чанг, Кеннет (2 июня 2014 г.). «Автоматизация кибербезопасности» . Нью-Йорк Таймс . ISSN   0362-4331 . Проверено 6 сентября 2016 г.
    7. ^ Тангенс, Тьма. «Хакерская конференция DEF CON® 24» . defcon.org . Проверено 6 сентября 2016 г.
    8. ^ «ЦГК АБИ» . Гитхаб .
    9. ^ «ХРОМ_00002» . Гитхаб .
    10. ^ «ХРОМ_00005» . Гитхаб .
    11. ^ «KPRCA_00038» . Гитхаб .
    12. ^ «KPRCA_00028» . Гитхаб .
    13. ^ «ХРОМ_00015» . Гитхаб .
    14. ^ «ХРОМ_00018» . Гитхаб .
    15. ^ «KPRCA_00002» . Гитхаб .
    16. ^ «KPRCA_00014» . Гитхаб .
    17. ^ Специальный специальный выпуск журнала IEEE Security & Privacy: «Взлом без людей» . Безопасность и конфиденциальность IEEE . 16 (2). Компьютерное общество IEEE. Март 2018. ISSN   1558-4046 .
    18. ^ Jump up to: а б Публикации по отдельным компонентам, такие как Shellphish. Стивенс Н., Грозен Дж., Саллс С., Датчер А., Ван Р., Корбетта Дж., Шошитаишвили Ю., Крюгель С., Винья Г. (2016). Driller: усиление фаззинга посредством выборочного символьного выполнения (PDF) . Симпозиум по безопасности сетей и распределенных систем (NDSS). Том. 16.
    19. ^ «Механический фиш» . Гитхаб .
    20. ^ «Кибер-гранд-вызов» . Архивировано из оригинала 11 сентября 2016 г.
    21. ^ «Великий кибервызов DARPA: взгляд конкурента» .
    22. ^ «Синдикат легального бизнеса: в чем заключается грандиозный кибервызов?» . blog.legitbs.net . Проверено 6 сентября 2016 г.
    23. ^ «DARPA | Cyber ​​Grand Challenge» . www.cybergrandchallenge.com . Архивировано из оригинала 1 августа 2016 г. Проверено 6 сентября 2016 г.
    24. ^ Jump up to: а б «Mayhem занимает первое место в CGC» . 7 августа 2016 г. Проверено 13 августа 2016 г.
    [ редактировать ]
    Retrieved from "https://en.wikipedia.org/w/index.php?title=2016_Cyber_Grand_Challenge&oldid=1233257313"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: 1e9b2d10e6569f5e015fc049090d4c2e__1720399860
    URL1:https://arc.ask3.ru/arc/aa/1e/2e/1e9b2d10e6569f5e015fc049090d4c2e.html
    Заголовок, (Title) документа по адресу, URL1:
    2016 Cyber Grand Challenge - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)