Die Pentagon-Forschungsabteilung DARPA sucht im Rahmen der "Cyber Grand Challenge" nach Computersystemen, die selbst wie Hacker nach Sicherheitslücken suchen. [...]
Das Finale findet 2016 im Rahmen der Hacker-Konferenz DEF CON statt. Davor gibt es Vorausscheidungen. Immerhin haben sich schon über 30 Teams aus Forschung und IT-Security-Branche gemeldet, die sich mit Hacker-Systemen zwei Mio. Dollar Siegprämie sichern wollen.
Mit der Cyber Grand Challenge geht die DARPA (Defense Advanced Research Projects Agency) ein grundlegendes Problem der IT-Sicherheit an. Bislang müssen menschliche Spezialisten zeitaufwendig mithilfe von Computer-Tools Angriffe und Sicherheitsprobleme erkennen. Das führt dazu, dass selbst katastrophale Lücken wie „Heartbleed“ teils jahrelang unentdeckt bleiben, während die Cyberkriminalität ständig steigt. „Wenn man sich das Ungleichgewicht der Kräfte zwischen Angreifern und Verteidigung ansieht, ist das ein Problem der Ökonomie“, meint DARPA-Sicherheitsexperte Mike Walker gegenüber dem Wall Street Journal. Der Lösungsansatz: Computersysteme, die selbst hacken können.
Die DARPA wird die besten im Wettbewerb eingereichten Systeme 2016 auf der DEF CON in einem „Capture the Flag“-Wettkampf antreten lassen. Das ist ein Format, in dem menschliche Experten bei der Konferenz seit über zwei Jahrzehnten antreten, um ihre Fertigkeiten zu testen. Bei einem Live-Wettkampf geht es darum, vom Veranstalter bereitgestellte Software zurückzuentwickeln, versteckte Schwachstellen zu finden und diese zu beheben. Denn nur mit Computersystemen, die das autonom bewerkstelligen können, ist nach Ansicht der DARPA langfristig der immer wachsenden Zahl an Cyber-Angriffen Herr zu werden.
„Automatisiertes Hacken in dieser Form halte ich bis 2016 für durchaus realistisch“, meint Udo Schneider, Security Evangelist bei Trend Micro, im Gespräch mit der Nachrichtenagentur pressetext. „Es gibt automatisierte Tests schon jetzt in kleinem Maßstab, im sogenannten Penetration Testing.“ Dass ausgereiftere Systeme bis 2016 auch als echtes Angriffswerkzeug dienen könnten, sei aber unwahrscheinlich. „Die probieren wahrscheinlich sehr viel aus, sodass alle Alarmglocken schrillen“, erklärt der Experte. Bei vorsorglichen Sicherheitstests, wie sie das offiziell erklärte Ziel sind, wäre das freilich kein Problem.
Das Interesse von Sicherheitsexperten ist laut DARPA groß. Schon jetzt sind 35 Teams aus aller Welt angemeldet, dabei läuft die Nennfrist für den Wettbewerb noch bis Anfang November 2014. Ein Ansporn ist wohl auch das Preisgeld. Auf den Sieger warten satte zwei Mio. Dollar, auf den Zweitplatzierten halb so viel und auch für den dritten Platz gibt es noch 750.000 Dollar. Um darauf eine Chance zu haben, müssen Teams aber erst eine mehrstufige Vorauswahl überstehen, die mit einem Qualifikations-Bewerb im Juni 2015 beginnt. Eine Einladung zum Finale auf der DEF CON 2106 gibt es nur für die nach DARPA-Einschätzung vielversprechendsten Projekte. (pte)
Be the first to comment