Gran Desafío Cibernético 2016

El Cyber ​​Grand Challenge (CGC) de 2016 fue un desafío creado por la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) con el fin de desarrollar sistemas de defensa automáticos ^[3] que puedan descubrir, probar y corregir fallas de software en tiempo real .

El evento enfrentó máquinas contra máquinas (sin intervención humana) en lo que se denominó el "primer torneo de defensa de redes automatizadas del mundo". ^[4]

El evento final se celebró el 4 de agosto de 2016 en el Paris Hotel & Conference Center en Las Vegas, Nevada, dentro de la 24ª convención de hackers DEF CON .

Su estructura se parecía a la de las antiguas competiciones de seguridad de " capturar la bandera " (CTF), y el sistema ganador compitió contra humanos en la "clásica" DEF CON CTF que se celebró los días siguientes. Sin embargo, el Cyber ​​Grand Challenge contó con un sistema de puntuación y de comprobación de vulnerabilidades más estandarizado: todos los exploits y los binarios parcheados fueron enviados y evaluados por la infraestructura de árbitros. ^[5]

Además del CGC, DARPA también ha realizado concursos de premios en otras áreas de la tecnología.

Fondo

Se desarrollan carreras entre los delincuentes que intentan aprovechar las vulnerabilidades y los analistas que evalúan, remedian, verifican e implementan un parche antes de que se pueda producir un daño significativo. ^[3] Los expertos se adhieren a un proceso que implica un razonamiento complicado seguido de la creación manual de cada firma de seguridad y parche de software, un proceso técnico que requiere meses y dólares. ^[3] Esto ha dado lugar a varias inseguridades de software que favorecen a los atacantes. ^{[2] [3]} Los dispositivos como televisores inteligentes, tecnologías portátiles y electrodomésticos de alta gama que están conectados a Internet no siempre se producen teniendo en cuenta la seguridad y, además, los sistemas de servicios públicos, las redes eléctricas y los semáforos podrían ser más susceptibles a los ataques, dice la DARPA. ^[4]

Para ayudar a superar estos desafíos, DARPA lanzó en 2014 ^[6] el Cyber ​​Grand Challenge: una competencia de dos años que busca crear sistemas defensivos automáticos capaces de razonar sobre fallas, formular parches e implementarlos en una red en tiempo real. La competencia se dividió en dos eventos principales: un evento de clasificación abierto que se llevaría a cabo en 2015 y un evento final en 2016 donde solo los siete mejores equipos de las clasificatorias podrían participar. El ganador del evento final recibiría $2 millones y la oportunidad de jugar contra humanos en la competencia de captura de bandera de DEF CON 24th. ^[7]

Tecnología

Desafío binarios

Challenge Binaries se ejecutó en la arquitectura Intel x86 de 32 bits completa , aunque con una ABI simplificada . ^[8]

Al reducir la interacción externa a sus componentes básicos (por ejemplo, llamadas al sistema para E/S bien definidas, asignación de memoria dinámica y una única fuente de aleatoriedad) se simplificó tanto el modelado como la ejecución segura de los binarios de forma aislada para observar su comportamiento.

Sin embargo, la complejidad interna no tenía restricciones y los desafíos llegaban hasta la implementación de un simulador de física de partículas, ^[9] ajedrez, ^[10] lenguajes de programación/scripts, ^{[11] [12]} análisis de enormes cantidades de datos de marcado, ^[13] gráficos vectoriales, ^[14] compilación justo a tiempo , ^[15] máquinas virtuales , ^[16] etc.

Los autores del desafío fueron calificados en función de lo bien que distinguieron el desempeño relativo de los jugadores, alentando los desafíos a ejercitar debilidades específicas del razonamiento automático (por ejemplo, explosión de estados) sin dejar de ser solucionables mediante sistemas bien construidos.

Sistemas de reproductores

Cada sistema de juego, un "sistema de razonamiento cibernético" (CRS) totalmente automatizado, tenía que demostrar capacidad en varias áreas de seguridad informática:

• Detección automática de vulnerabilidades en binarios previamente desconocidos.
• Aplicación de parches automáticos a binarios sin sacrificar el rendimiento.
• Generación automática de exploits dentro de las limitaciones del framework.
• Implementar una estrategia de seguridad: equilibrar la asignación de recursos entre los servidores disponibles (una variación del problema del bandido multiarmado ), responder a los competidores (por ejemplo, analizar sus parches, reaccionar a la explotación), evaluar el efecto de las propias acciones en el puntaje final, ...

Los equipos describieron su enfoque en varios lugares. ^{[17] [18]} Además, el equipo que quedó en tercer lugar (Shellphish) publicó el código fuente completo de su sistema. ^[19]

Debido a la complejidad de la tarea, los jugadores tuvieron que combinar múltiples técnicas y hacerlo de una manera totalmente desatendida y con ahorro de tiempo. Por ejemplo, el puntaje de ataque más alto se alcanzó al descubrir vulnerabilidades mediante una combinación de fuzzing guiado y ejecución simbólica , es decir, un fuzzer basado en AFL combinado con el marco de análisis binario angr, aprovechando un sistema de emulación y seguimiento de ejecución basado en QEMU . ^[18]

Evento de clasificación CGC (CQE)

El evento de calificación CGC (CQE) se llevó a cabo el 3 de junio de 2015 y duró 24 horas. ^[20] CQE tenía dos vías: una vía financiada para siete equipos seleccionados por DARPA en función de sus propuestas (con un premio de hasta $750,000 por equipo) y una vía abierta donde cualquier equipo autofinanciado podía participar. Más de 100 equipos se registraron internacionalmente y 28 llegaron al evento de calificación. ^[21] Durante el evento, los equipos recibieron 131 programas diferentes y se los desafió a encontrar vulnerabilidades, así como a repararlas automáticamente mientras se mantenía el rendimiento y la funcionalidad. En conjunto, todos los equipos lograron identificar vulnerabilidades en 99 de los 131 programas proporcionados. ^[22] Después de recopilar todas las presentaciones de los competidores, DARPA clasificó a todos los equipos en función de su capacidad de aplicación de parches y detección de vulnerabilidades.

Los siete mejores equipos y finalistas en orden alfabético fueron: ^[23]

• CodeJitsu, un equipo de investigadores de la Universidad de California en Berkeley, Cyberhaven y Syracuse (curso financiado).
• CSDS, un equipo de investigadores de la Universidad de Idaho (curso abierto).
• Deep Red, un equipo de ingenieros especializados de Raytheon (pista abierta).
• disekt, un equipo de seguridad informática que participa en varias competiciones de seguridad Capture the Flag organizadas por otros equipos, universidades y organizaciones (pista abierta).
• ForAllSecure, una startup de seguridad compuesta por investigadores y expertos en seguridad (vía financiada).
• Shellphish, un equipo de hackers de la Universidad de California, Santa Bárbara (pista abierta).
• TECHx, un equipo de expertos en análisis de software de GrammaTech , Inc. y la Universidad de Virginia (curso financiado).

Tras la clasificación, cada uno de los siete equipos mencionados anteriormente recibió 750.000 dólares en financiación para prepararse para el evento final.

Evento Final del CGC (CFE)

El evento final de la CGC (CFE) se celebró el 4 de agosto de 2016 y duró 11 horas. ^[3] Durante el evento final, los finalistas vieron a sus máquinas enfrentarse entre sí en una competencia totalmente automática de capturar la bandera. ^[4] Cada uno de los siete equipos clasificados compitió por los tres primeros puestos que se repartirían casi 4 millones de dólares en premios. ^[4]

Resultados finales

Los sistemas ganadores del Evento Final del Cyber ​​Grand Challenge (CGC) fueron:

1. "Mayhem" ^[24] - desarrollado por ForAllSecure, de Pittsburgh, Pensilvania - 2 millones de dólares
2. "Xandra" - desarrollado por el equipo TECHx, formado por GrammaTech Inc., Ithaca, NY, y UVa, Charlottesville, Va. - 1 millón de dólares
3. "Mechanical Phish" - desarrollado por Shellphish , UC Santa Barbara, Ca. - $750,000

Los otros sistemas en competencia fueron:

• Rubeus ^[24] - desarrollado por Raytheon, Deep Red de Arlington, Virginia.
• Galactica - desarrollado por CodeJitsu de Berkeley, California, Syracuse, Nueva York y Lausana, Suiza
• Jima - desarrollado por CSDS de Moscú, Id.
• Crspy - sistema desarrollado por disekt de Athens, Georgia.

Véase también

• Concursos de premios DARPA

Referencias

1. "Información del evento Cyber ​​Grand Challenge para los finalistas" (PDF) . Cybergrandchallenge.com . Archivado desde el original (PDF) el 28 de abril de 2017 . Consultado el 17 de julio de 2016 .
2. «El Cyber ​​Grand Challenge (CGC) busca automatizar el proceso de ciberdefensa». Cybergrandchallenge.com . Archivado desde el original el 1 de agosto de 2016. Consultado el 17 de julio de 2016 .
3. Walker, Michael. "Se inicia una carrera entre malhechores que intentan explotar la vulnerabilidad y analistas que deben evaluar, remediar, probar e implementar un parche antes de que se produzcan daños significativos". darpa.mil . Consultado el 17 de julio de 2016 .
4. Uyeno, Greg (5 de julio de 2016). "Televisores inteligentes, tecnologías portátiles, sistemas de suministro de energía, redes eléctricas y más propensos a sufrir ataques cibernéticos". Live Science . Consultado el 17 de julio de 2016 .
5. "API de interfaz de equipo de CRS". GitHub .-- a diferencia de los juegos CTF clásicos, en los que los jugadores se atacan directamente entre sí y cambian libremente sus propias máquinas virtuales
6. Chang, Kenneth (2014-06-02). "Automatización de la ciberseguridad". The New York Times . ISSN  0362-4331 . Consultado el 2016-09-06 .
7. Tangent, The Dark. "DEF CON® 24 Hacking Conference". defcon.org . Consultado el 6 de septiembre de 2016 .
8. "CGC ABI". GitHub .
9. "CROMU_00002". GitHub .
10. "CROMU_00005". GitHub .
11. "KPRCA_00038". GitHub .
12. "KPRCA_00028". GitHub .
13. "CROMU_00015". GitHub .
14. "CROMU_00018". GitHub .
15. "KPRCA_00002". GitHub .
16. "KPRCA_00014". GitHub .
17. Número especial dedicado de la revista IEEE Security & Privacy: "Hacking Without Humans". IEEE Security & Privacy . 16 (2). IEEE Computer Society. Marzo de 2018. ISSN  1558-4046.
18. Publicaciones sobre componentes individuales, como Stephens N, Grosen J, Salls C, Dutcher A, Wang R, Corbetta J, Shoshitaishvili Y, Kruegel C, Vigna G (2016) de Shellphish. Driller: Augmenting Fuzzing Through Selective Symbolic Execution (PDF) . Simposio sobre seguridad de sistemas distribuidos y redes (NDSS). Vol. 16.
19. "Phishing mecánico". GitHub .
20. "Cyber ​​Grand Challenge". Archivado desde el original el 11 de septiembre de 2016.
21. "El gran desafío cibernético de DARPA: la perspectiva de un competidor".
22. "Sindicato de empresas legítimas: ¿Qué es el gran desafío cibernético?". blog.legitbs.net . Consultado el 6 de septiembre de 2016 .
23. "DARPA | Cyber ​​Grand Challenge". www.cybergrandchallenge.com . Archivado desde el original el 2016-08-01 . Consultado el 2016-09-06 .
24. "Mayhem llega en primer lugar en CGC". 7 de agosto de 2016 . Consultado el 13 de agosto de 2016 .

Enlaces externos

• Gran desafío cibernético de DARPA (archivado)
• Muestras del Cyber ​​Grand Challenge
• Portal de competidores del Gran Desafío Cibernético de DARPA (archivado)
• Vídeos oficiales de DARPAtv, incluida la final y su análisis