ForAllSecure漏洞自動攻防機器人「Mayhem」,抱走DARPA挑戰賽2百萬美元大獎

2016.08.06 by
郭芝榕
ForAllSecure漏洞自動攻防機器人「Mayhem」,抱走DARPA挑戰賽2百萬美元大獎
「天網」要出現了嗎?美國國防部國防高等研究計畫署(DARPA)首度推出CGC(Cyber Grand Challenge)機器人...

「天網」要出現了嗎?

美國國防部國防高等研究計畫署(DARPA)首度推出CGC(Cyber Grand Challenge)機器人漏洞自動攻防競賽,由七個團隊設計出的機器人系統角逐冠軍。美國時間 4 日比賽結果出爐,來自卡內基美隆大學(Carnegie Mellon University, CMU)的新創公司 AllForSecure 所設計的自動攻防機器人 Mayhem,拿下 CGC 冠軍,抱走 200 萬美元獎金。

Mayhem 也在美國時間 2016 年 8 月 5-7 日參加全球網路攻防競賽 DEFCON CTF,這也是史上第一次「機器人」隊伍與「人類駭客」進行漏洞攻防戰,究竟機器人能否成功贏過人類駭客,創下新的里程碑,令各界十分關注。

DARPA
(圖說:DARPA 首度舉辦CGC自動攻防競賽,機器人冠軍隊伍加入全球網路攻防競賽DEF CON CTF,與人類隊伍對戰。圖片來源:DARPA提供。)

此次 DARPA 所資助的 CGC 競賽,進入決賽的共有七個參賽隊伍,分別設計出網路決策推理系統(Cyber Reasoning System,CRS),用自動化進行漏洞攻防比賽,可以在敵人利用軟體的漏洞之前,就能偵測、預估及修補漏洞。

DARPA 總監普若帕克(Arati Prabhakar)說,「為了用機器的速度來修補軟體的漏洞,網路世界必須發展自動化、可規模化的系統,我們在網路的目標是打破過去修補漏洞的反應模式,創造資訊革命。」

Mayhem
(圖說:AllForSecure 開發的 Mayhem 機器人攻防系統。圖片來源:HITCON CTF 領隊李倫銓提供。)

為什麼要發展自動化攻防系統呢?DARPA 指出,目前挖掘漏洞及網路感染的途徑,還是得透過資安專家用手工的方式,從幾百萬行程式碼中發現並找出漏洞。舉 2014 年嚴重的 Heartbleed 漏洞為例,當時約有 50 萬個網路安全伺服器的漏洞容易被偷以及被惡作劇,在 2014 年春天被發現和修補之前,估計已潛伏約 10 個月,給了不法人士很長的時間感染系統。

HITCON CTF 領隊李倫銓指出,CGC 決賽前,DARPA 說明進行 CGC 比賽的最大原因,是由於 2003 年的 MSSQL 漏洞,當時出現蠕蟲 SQL slammer ,短短 10 分鐘之內就感染七萬多台電腦,這種速度沒辦法用人工來解決,還有更早的 Morris Worm,都是電腦自動化攻擊擴散的例子。

面對這類型的網路威脅,李倫銓表示:「光靠人類發現漏洞是遠不足的」,只有靠電腦以毫秒級的速度和有系統的判斷,才能控制威脅。自動化修補系統最終的目的是:迅速找出漏洞、甚至能夠修補漏洞,在幾分鐘內避免惡意程式的快速擴散。

每日精選科技圈重要消息