211service.com
Pentagon Bot Battle visar hur datorer kan fixa sina egna brister
Det kan vara den minst spektakulära showen som någonsin prydt en scen i Las Vegas.
Flera hundra personer packade in i en kasinobalsal på torsdag för att se sju kraftfulla datorer i garderobsstorlek lysa upp med blinkande lysdioder. Osynligt tillbringade varje maskin timmar med att försöka attackera programvara som kördes på de andra datorerna på scenen, samtidigt som de försvarade sig mot inkommande attacker.
Den absurda tävlingen och dess högsta pris på 2 miljoner dollar kan leda till att Internet och datorer i allmänhet blir mycket säkrare. Cyber Grand Challenge arrangerades på DEF MED hackningskonferens av Pentagon's Defense Advanced Research Projects Agency för att stimulera uppfinningen av programvara som automatiskt kan upptäcka, testa och åtgärda säkerhetsbrister. Det kan revolutionera kampen mot problem som att kriminella utnyttjar säkerhetsbrister för att stjäla miljontals konsumentregister varje år.
Publiken på kasinot i Paris jublade när mjukvara byggd av säkerhetsföretaget ForAllSecure utsågs till den preliminära vinnaren sent på torsdagen. Slutlig bekräftelse av resultatet kommer fredag morgon efter att DARPA har analyserat dataloggar från tävlingen.
David Brumley , Carnegie Mellon University-professorn som var med och grundade ForAllSecure, sa att han trodde att resultatet visade att det var möjligt för programvara att självständigt lösa vissa säkerhetsproblem. Vi ser det här som ett första steg, sa han.
ForAllSecure och de andra sex teamen var tvungna att utveckla en bot för att köras på en kraftfull, vattenkyld dator och ta hand om en samling av nästan hundra program som skapats för tävlingen. Dessa program var löst modellerade på paket som kan finnas på en webbserver och avsiktligt utformade med säkerhetsbrister.

DARPAs Cyber Grand Challenge
Varje lags bot tjänade poäng för att åtgärda brister i program i deras vård, hålla dem igång och undersöka andra teams program för att identifiera oåtgärdade sårbarheter. Bots fick inte se programmen de var tvungna att ta hand om innan tävlingen.
Många säkerhetsföretag, säkerhetsforskare och kriminella hackare använder verktyg som automatiserar processen för att analysera programvara för potentiella sårbarheter. Men arbetet med att skapa och distribuera patchar för säkerhetsbrister faller enbart på människor, sa Mike Walker , DARPA-programledaren som ledde arbetet med tävlingen. Anledningen till att det är en 'stor utmaning' är att ingen av dessa funktioner har automatiserats, sa han.
Walker erkände att några av de automatiska funktionerna som visas så småningom kan användas för att attackera datornätverk och försvara dem. Men han hävdade att det faktum att DARPA höll tävlingen öppet och publicerar all data från den kommer att luta tekniken mot att erbjuda skydd. Alla datorsäkerhetsverktyg har dubbel användning, sa han. 'Skillnaden mellan offensiv och defensiv användning är ofta öppenhet.'
Peter Lee , som leder Microsofts forskningsansträngningar och deltog i torsdagens evenemang, sa att möjligheten att automatiskt generera korrigeringar för säkerhetsbrister skulle hjälpa programvaruföretag att göra sina produkter mycket säkrare. Det skulle vara en mycket stor sak för något som Windows eller Office, sa han.
Tim Bryant, från försvarsentreprenören Raytheon, sa att han förväntade sig att använda teknik utvecklad för företagets Rubeus-bot med kunder inom företagets säkerhetsverksamhet. Komplexa system som kraftnätverk som är beroende av många typer av hårdvara, mjukvara och datorer kan dra nytta av bättre sätt att upptäcka eller åtgärda sårbarheter, sa han. Jag tror att vi kommer att prata med kritiska infrastrukturföretag, det här kan verkligen hjälpa dem, sa Bryant.
Det faktum att sex av de dussintals brister som botarna måste hantera var baserade på verkliga sårbarheter som har orsakat förödelse online kan också ge bevis på teknikens praktiska potential.
Lagen fixade tillsammans fem av de klassiska bristerna, som inkluderade Morris Worm som förlamade Internet 1988 och Heartbleed-felet som avslöjades 2014 som kunde bryta krypteringen som skyddar onlinetransaktioner. Jima-boten, från University of Idaho, hittade och fixade till och med ett fel som inte avsiktligt inkluderades i tävlingsprogrammen men som hade inträffat av en slump.
Tävlingen visade dock också vissa begränsningar för säkerhetsbotar. Vinnaren, Mayhem, upplevde en krasch som gjorde att den inte kunde generera nya patchar eller undersöka andra lag under en tid. En fix som installerades av Raytheons Rubeus-bot fungerade men var för komplex och sög bort datorkraft från andra program som kördes på samma dator.
Den vinnande boten kommer att tävla igen på fredag i DEF CON's årlig tävling för mänskliga hackare, känd som en Capture the Flag eller CTF. En hacker känd som Gynophage, en av CTF-arrangörerna, sa utifrån vad han såg från bots, vinnaren borde inte vara en pushover. Det kan absolut vara bland de fem bästa, men i slutändan tror vi att det kommer att övervinnas av människors anpassningsförmåga, sa han.
Walker från DARPA tror att boten har en chans att leda en kort tid i början av fredagens tävling, eftersom programvara kan agera snabbare än en person. På längre sikt föreställer han sig bots som fixar och skyddar programvara som arbetar tillsammans med människor, inte ersätter dem helt och hållet.
Vi ser framtiden för nätverksförsvar mer som ett partnerskap, sa Walker. DARPA överväger att hålla en andra hackingtävling där människor och bots arbetar tillsammans.