Pentagon-Wettbewerb sucht hackende Computer

Die Pentagon-Forschungsabteilung DARPA sucht im Rahmen der "Cyber Grand Challenge" nach Computersystemen, die selbst wie Hacker nach Sicherheitslücken suchen. [...]

Das Finale findet 2016 im Rahmen der Hacker-Konferenz DEF CON statt. Davor gibt es Vorausscheidungen. Immerhin haben sich schon über 30 Teams aus Forschung und IT-Security-Branche gemeldet, die sich mit Hacker-Systemen zwei Mio. Dollar Siegprämie sichern wollen.

Mit der Cyber Grand Challenge geht die DARPA (Defense Advanced Research Projects Agency) ein grundlegendes Problem der IT-Sicherheit an. Bislang müssen menschliche Spezialisten zeitaufwendig mithilfe von Computer-Tools Angriffe und Sicherheitsprobleme erkennen. Das führt dazu, dass selbst katastrophale Lücken wie „Heartbleed“ teils jahrelang unentdeckt bleiben, während die Cyberkriminalität ständig steigt. „Wenn man sich das Ungleichgewicht der Kräfte zwischen Angreifern und Verteidigung ansieht, ist das ein Problem der Ökonomie“, meint DARPA-Sicherheitsexperte Mike Walker gegenüber dem Wall Street Journal. Der Lösungsansatz: Computersysteme, die selbst hacken können.

Die DARPA wird die besten im Wettbewerb eingereichten Systeme 2016 auf der DEF CON in einem „Capture the Flag“-Wettkampf antreten lassen. Das ist ein Format, in dem menschliche Experten bei der Konferenz seit über zwei Jahrzehnten antreten, um ihre Fertigkeiten zu testen. Bei einem Live-Wettkampf geht es darum, vom Veranstalter bereitgestellte Software zurückzuentwickeln, versteckte Schwachstellen zu finden und diese zu beheben. Denn nur mit Computersystemen, die das autonom bewerkstelligen können, ist nach Ansicht der DARPA langfristig der immer wachsenden Zahl an Cyber-Angriffen Herr zu werden.

„Automatisiertes Hacken in dieser Form halte ich bis 2016 für durchaus realistisch“, meint Udo Schneider, Security Evangelist bei Trend Micro, im Gespräch mit der Nachrichtenagentur pressetext. „Es gibt automatisierte Tests schon jetzt in kleinem Maßstab, im sogenannten Penetration Testing.“ Dass ausgereiftere Systeme bis 2016 auch als echtes Angriffswerkzeug dienen könnten, sei aber unwahrscheinlich. „Die probieren wahrscheinlich sehr viel aus, sodass alle Alarmglocken schrillen“, erklärt der Experte. Bei vorsorglichen Sicherheitstests, wie sie das offiziell erklärte Ziel sind, wäre das freilich kein Problem.

Das Interesse von Sicherheitsexperten ist laut DARPA groß. Schon jetzt sind 35 Teams aus aller Welt angemeldet, dabei läuft die Nennfrist für den Wettbewerb noch bis Anfang November 2014. Ein Ansporn ist wohl auch das Preisgeld. Auf den Sieger warten satte zwei Mio. Dollar, auf den Zweitplatzierten halb so viel und auch für den dritten Platz gibt es noch 750.000 Dollar. Um darauf eine Chance zu haben, müssen Teams aber erst eine mehrstufige Vorauswahl überstehen, die mit einem Qualifikations-Bewerb im Juni 2015 beginnt. Eine Einladung zum Finale auf der DEF CON 2106 gibt es nur für die nach DARPA-Einschätzung vielversprechendsten Projekte. (pte)


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*