代表台湾参加CEF COn CTF比赛战队HITCON,虽然未能获得前三名,但CTF领队李伦铨推估,从整个比赛过程来看,应该有第四名的实力。
图片来源:台湾HITCON提供
近期最引人注意的事情,除了是任天堂的手机游戏精灵宝可梦(Pokémon GO),也是小时候说的神奇宝贝,正式登陆台湾市场并引发一股抓妖怪或者是抓交替的风潮之外,另外一起发生在美国的重要事件,甚至可以改变未来全世界对于漏洞修补的方式以及进展,那就是,「机器人有一天,真的会打赢人类吗?」
由美国国防部国防高等计画研究署(DARPA)推出的漏洞自动攻防比赛CGC(Cyber Grand Challenge),由七队机器人队伍进行对决,比拼在同样的CGC平台上,谁是找漏洞和修补漏洞速度最快的机器人。而在CGC比赛获得冠军的机器人,便成为DEF CON CTF比赛的第15队参赛者,和其他来自全球14队比赛找漏洞和修补漏洞的速度。
第一天比赛的结果,机器人和人类比赛垫底,名列第15名,不过,机器人队伍在第一天比赛后的推特(Twitter)上表示,因为接错流量API所以没有封包可以分析,第二天,其他人类队伍就知道机器人的厉害了;而到了第二天,机器人在两天接错流量API,依旧没有封包可以分析的情况下,仍然打赢两队人类队伍。
最终,这场CTF比赛中,由美国队PPP获得第一名,第二名则是由中国蓝莲花和0ops组成的blo0p,第三名则是去年冠军韩国队DEFKOR,台湾HITCON虽然没有获得前三名,但推估,应该有第四名的实力。不过,台湾CTF战队HITCON领队李伦铨引述此次CEF CON CTF冠军队伍PPP的看法指出,机器人最后一天才接上流量,但在9个Binary中,就顺利找到7个攻击程式(Exploit)、修补6个漏洞,假如机器人两天的流量都有顺利接上、有封包可以分析的话,「机器人应该会屌打全场」他说。
而另外一位台湾参赛选手和机器人实际对战后更认为,如果不是大会的API出问题,这次机器人只要可以利用高难度洞跟複杂逻辑漏洞,然后搭配payload的隐藏跟侦测,就会是机器人致胜的关键。
机器人崛起的时代来临了吗?
这次的DEF CON比赛主题是:Rise of the Machines(机器人崛起),就是为了见证这个CGC计画中,划时代的历史意义,而李伦铨认为,台湾队伍有机会可以见证人类决战机器人的历史性时刻,是一个非常难得和宝贵的经验,而这些经验对于未来这类自动化攻击程式分析的进展等,都会带来实质的帮助。
整个CGC的比赛从2013年10月正式展开,期间经过3场初赛后,在2015年8月的DEF CON活动中,由CGC专案经理 Mike Walker宣布入围CGC决赛的七队参赛队伍外,也同时宣布,CGC比赛冠军将加入DEF CON CTF比赛,和其他14队CTF队伍一起较劲。
宣布最终入围的7个队伍,包括:由加州柏克莱大学组成的CodeJits所设计的Galactica机器人;由卡内基美隆大学David Brumley教授创立的新创公司ForAllSecure设计的Mayhem机器人;以及由程式分析公司GrammaTech和维吉尼亚大学组队的TECHx所设计的Xandra机器人。
另外,还包括由爱德华大学资工系的教授Jim Alves-Foss及其博士后研究员Jia Song组成的两人团队CSDS所设计的Jima机器人;美国国防公司Raytheon(雷神)组成DeepRed设计出的Rebeus机器人;乔治亚大学学术理论分析人员和CTF选手组成的四人小组disekt所设计的Crspy机器人;以及加州大学圣塔芭芭拉分校的学生组成的Shellphish所设计的Mechanical Phish等七队机器人。
其中,像是Shellphish则是同时参与CGC比赛,且入围DEF CON CTF比赛的队伍;而卡内基美隆大学组成的ForAllSecure新创团队中,也有许多熟悉CTF比赛的高手。同时懂得CGC比赛逻辑,并懂得人类CTF的参赛规则,也有助于人类去面对这些机器人在比赛发动攻击时,应该如何做好因应对策。
漏洞出现速度超过人类修补漏洞速度,仰赖电脑才能加速
回首DARPA推出这个CGC挑战赛,是因为软体和系统漏洞出现的速度越来越快,而人类找寻漏洞和修补漏洞的速度,完全跟不上漏洞出现的速度,希望解决现实社会中难以解决的零时差(Zero Day)漏洞的问题,透过即时的自动化网路防御系统,可以透过系统自动化找出漏洞并且完成修补,真正做到降低这种零时差漏洞对系统和使用者带来的损害。
李伦铨也以2003年出现的微软SQL漏洞:SQL slammer蠕虫,在短短10分钟内就感染7万多台电脑,这样的感染速度,人类根本没办法追上,唯有依赖电脑的自动化工具,才有可以遏止。
因此,如果藉由CGC计画的推动,最终可以研发出一套具备自动化分析,找出系统漏洞、过滤各种攻击程式,并且自动产生防御机制以及自动修补系统漏洞的CRS系统,就可以大幅提升人类找寻漏洞和修补漏洞的速度。
李伦铨指出,不管现在我们在使用的各种作业系统到底安全程度有多差,但是,在经过过去这幺多年的发展下,许多作业系统都已经具备一定程度的安全防护措施,藉此确保使用者的安全性,例如,在记忆体中检查以防止恶意程式执行的DEP(Data Execution Prevention,防止资料执行)技术、防止恶意程式对已知位址攻击的ASLR(随机分配位址空间)技术等。
因此,这次DARPA便开发出一套已精简化过的、专门用来做电脑安全研究的开源DECREE系统(DARPA Experimental Cybersecurity Research Evaluation Environment)。他则指出,这样的简化系统具有单纯性(Simplicity)、可重现性(High Determinism)和限制性(Incompatibility)等特色,都可以让参与的CGC参赛队伍,可以更聚焦在安全性的分析和研究。
机器人比赛卡内基美隆团队夺冠,已对人类产生极大影响
由美国七个团队设计出七套网路决策推理系统竞技的结果,首先在美国时间8月4日出炉,由CGC初赛的冠军、卡内基美隆大学成员组成的新创公司AllForSecure设计的Mayhem机器人获得,同时获得200万美元的奖金。
「这次Mayhem比赛到一半就当机,」李伦铨说:「可怕的是,最终Mayhem还是赢得冠军。」而Mayhem厉害的地方还不止于此,他也补充说明,像是人类CTF冠军PPP在这次的比赛中,在他们释出的修补程式埋藏一个后门程式,其他队伍会习惯去抓第一名队伍的修补程式来使用,但一旦安装PPP的修补程式后,也等于安装PPP预设埋藏的后门程式。他笑说:「这种人类的小心机,其实,机器人(Mayhem)也有。」
第二名则由TECHx的Xandra机器人,第三名由Shellphish的Mechanical Phish机器人Machaphish获得。不过,这中间曾经出现一个小插曲,Shellphish团队成员之一Antonio Bianchi 表示,原本在8月4日CGC比赛结束后,便已经宣布Shellphish团队获得第三名,但到8月5日却通知说,第三名的成绩必须重新检验。Antonio Bianchi 表示,主要是CGC的检测系统有系统错误(Bug),导致得出两个不一样的成绩,以至于必须重新检验。所幸,到8月7日便确认,Machaphish是名符其实、全世界第三厉害的机器人CRS系统。
重新回顾这次CGC和人类的CTF比赛,看起来,因为一些人为的操作错误,以至于机器人没有展现真正的实力,但是,整个比赛过程中,比赛的效能占有相当大的比重,以CGC设计的平台,对于具有超高效能的机器人系统是相当有利的。
不论这种机器人和人类的CTF比赛是否还有机会再度举办,但可以证明的是,强调效能的找漏洞、分析漏洞甚至是修补漏洞,的确是机器人擅长的事情,而人类如何把熟悉的模式或模型,加诸到这样的机器人中,协助人类加速找寻漏洞的速度,才是未来人类好好发挥机器人专长的发展方向。
?
Modern Web 2016 精彩议程
I 相关 / Other
Container双周报第15期:Mesosphere执行长:欢迎来到容器2.0的时代
重点新闻(7月23日-8月5日)·Mesosphere执行长:欢迎来到容器2.0时代瞄準大量容器调度的Mesoshpere,其执行长暨共同创办人Florian Leibert喊出了有意思的口号:「欢迎进入容器2.0时代。」他表示,在容器1.0时代中,
美国国防部高级研究项目局5日宣布,名为破坏的超级计算机系统在美国拉斯韦加斯举行的首次机器黑客大赛中拔得头筹,成为最强机器黑客。本次大赛旨在提高信息安全,改变目前基于漏洞的软件安全攻防依赖于人的现状,推动
DEF CON CTF比赛开打!卡内基美隆新创公司的机器人成为人类CTF比赛最后一名参赛者
美国国防部DARPA宣布,由卡内基美隆大学组成的新创团队AllForSecure设计的机器人系统Mayhem,成为第24届DEF CON CTF最后一队、也是第15队的参赛队伍,将和其他14队CTF团队一起在CGC平台上比拼找漏洞的速度。 图片来
世界最长寿圈养大熊猫佳佳迎38岁生日相当于人类百岁!佳佳38岁出生于1978年居香港海洋公园巴斯出生于1980年北京亚运会吉祥物盼盼原型居福州大熊猫研究中心庆庆出生于1984年居成都动物园安安出生于1986年居香港海洋公
微软推出一系列第三方Skype机器人应用程式,帮你规画旅游、订购活动门票
图片来源: 微软 微软在4月时推出了Skype机器人(Skype Bot)预览版,现在微软推出了一系列的Skype机器人第三方应用程式,提供使用者可以用来安排旅游计画、搜寻活动门票等,而这些Skype机器人的新功能支援Windows、A