"Mayhem" vann en DARPA-tävling genom att hackat sina rivaler inför DEF CON

Ett system som heter Mayhem har förklarats den presumtiva vinnaren av en banbrytande ny tävling som slår mot maskin mot maskin. Cyber ​​Grand Challenge (CGC), sprang av Förenta staternas försvarsdepartementets DARPA-lab, beskrivs som världens första all-hacking-tävling. Spelet innebar ingen mänsklig interaktion - systemen utmanades att upptäcka, åtgärda och utnyttja buggar på några sekunder som kunde ha blivit oupptäckta i flera månader.

CGC slutade i en finalen i Las Vegas torsdagskväll före DEF CON-hackingkonventionen. I slutet av en treårig tävling drev CGC: s stora pris på $ 2 miljoner pengar några av de bästa sinnena i cybersäkerhet för att ge dem allting.

Mayhem förväntas bli inbjuden att tävla mot människor på fredagen på DEF CON. Det blir första gången en maskin har deltagit i DEF CON: s "Capture the Flag" -tävlingen.

"Det här kan vara slutet på DARPAs Cyber ​​Grand Challenge, men det är bara början på en revolution i programvarosäkerhet", säger Mike Walker, programansvarig för DARPA som lanserade utmaningen 2013, i ett uttalande.

I CGC tävlade sju helt automatiserade system i en 96-rundig slutlig sträckning på nästan 10 timmar. På den tiden analyserade de speciellt skrivna program, försökte hitta brister som skulle få dem att "dö" och fixa dem. Samtidigt syftade systemen till att utnyttja sina rivals brister innan de kunde försvara.

Professor David Brumley, medstifter av Mayhems lag ForAllSecure, är en passionerad förespråkare för CGC. I en bloggpost före finalen förklarade han att tävlingen ger forskare en chans att jämföra, kontrastera och utarbeta de bästa sätten som systemen automatiskt kan fixa sig.

Team @ForAllSecure med en dag kvar före #DARPACGC tävlingen. pic.twitter.com/FkjRMQUhFD

- David Brumley (@thedavidbrumley) 3 augusti 2016

"Tänk på det: om vi kunde utveckla datorer som automatiskt kunde hitta sårbarheter, så kunde de bra killar fixa dem först," sa Brumley.

ForAllSecure förklarade att vinnande systemet Mayhem faktiskt fungerar i två delar: Mayhem symboliska exekutör, och en regisserad fuzzer kallad Murphy (uppkallad efter lagmedlem John Davis's cat). Till skillnad från den symboliska exekutorns långsammare analys, testar fuzzers testprogram genom att mata dem stora mängder av slumpmässiga data. Murphy är utmärkt för att snabbt hitta enkla buggar och lämnar Mayhem för att hitta djupare och mer komplicerade problem. De två pratar med varandra via en databas, jämför resultat.

Mayhem kan ha vunnit slaget, men det är bara början. Genombrottet har potential att revolutionera industrier - DARPA uppskattar att utnyttjandet i genomsnitt går oupptäckt i cirka 10 månader.

"På samma sätt som Wright brödernas första flygning - även om det inte gick mycket långt - lanserade en händelseskedja som snabbt gjorde världen till en mycket mindre plats, har vi nu för första gången sett autonomi som involverar den typ av resonemang som krävs för cyberförsvar ", sa Walker. "Det är ett stort framsteg jämfört med var cyberförsvarsvärlden var igår."