Cyber Grand Challenge: IT-Security könnte sich radikal ändern

Wenn Computer völlig autonom Sicherheitslücken suchen, finden und dann entweder stopfen oder ausnutzen, bleibt in der IT-Security kein Stein auf dem anderen. Noch ist es nicht so weit. Aber die Cyber Grand Challenge der DARPA gewährte einen Ausblick.

"Wenn sie zur Def Con hier [in Las Vegas] bleiben, verbringen Sie bitte Zeit damit, darüber nachzudenken, wie die transformative Kraft der Automatisierung die [IT-Security] verändern kann", wandte sich Mike Walker Donnerstagabend (Ortszeit) in Las Vegas an Hacker. Sie hatten gerade das Finale der DARPA Cyber Grand Challenge (CGC) gesehen, bei dem Computer erstmals eigenständig ihre Sicherheitslücken schlossen und gleichzeitig bei den Konkurrenten auszunutzen suchten. Walker hatte den Wettbewerb der US-Militärforschungseinrichtung DARPA organisiert.

Mike Walker, Program Manager der CGC
Bild: Screenshot Tatsächlich sagt das bei der CGC demonstrierte autonome Hacking ohne menschliche Entscheidungen eine neue Ära der IT-Security voraus. "Viele Anti-Viren- und Firewall-Hersteller analysieren bereits Gefahren und Programme automatisch. Aber da wird in der Regel nur geschaut, ob etwas gefährlich ist, und es werden Muster zur Erkennung extrahiert", erläuterte der österreichische Forscher Adrian Dabrowski vom österreichischen Security-Forschungszentrum SBA Research.

"Was die CGC hier versucht, geht viel weiter: Die automatische Analyse von Programmen sowie das Patchen und Entwickeln von 'Exploits' ist in der Einheit noch nie versucht worden", sagte Dabrowski in Las Vegas zu heise security, "Bisher wurde nur in einzelnen Teilbereichen unter deutlichen Einschränkungen geforscht. Die CGC versucht auszuloten wo die Grenzen derzeit sind."

Vergleich zu selbstfahrenden Autos

Während der CGC-Abendshow wurde der Wettbewerb mehrmals mit der ebenfalls von der DARPA ausgerichteten Grand Challenge verglichen. Damals, 2004, sollten 15 selbstfahrende Autos autonom etwa 260 Kilometer durch die Wüste fahren. Keiner der Wagen schaffte das auch nur ansatzweise. Heute jedoch sind vollautonome Autos testweise auf öffentlichen Straßen unterwegs und teilautonome Vehikel werden schon viel zu selbstverständlich eingesetzt.

2004 schaffte das Vehikel Sandstorm zwölf von 260 Kilometern der Grand Challenge. Es war der Höchstwert.
Bild: MikeMurphy CC-BY-SA 3.0 Die Cyber Grand Challenge sei "sehr ähnlich zu selbstfahrenden Autos", sagte etwa Yan Shoshitaishvili vom vorläufig Drittplatzierten Team Shellphish, "[2004] haben die Leute haben gesagt: 'Glaubst Du wirklich, dass Du in einem Auto sitzen wirst, dass Dich [selbsttätig] herumfährt?' Und jetzt sind wir fast soweit. Es muss [bei der IT-Security] nicht auf die gleiche Weise so kommen, aber es wird definitiv passieren."

Hoffnung auf bessere Releases

"Es ist sehr aufregend, dass wir diesen Bereich automatisieren", meinte Dabrowski, "Bisher war das viel Handarbeit, viel 'Hacking' eben." Mit der Zeit werde das immer mehr automatisiert erfolgen. Das habe Vor- und Nachteile: "Software wird von autonomen Systemen durchgetestet werden, bevor sie auf den Markt kommt." Es besteht also Grund zur Hoffnung auf weniger Bugs.

Gerade für kleinere Anbieter, denen arbeitsintensive Security Audits zu teuer sind, könnten sich automatisierte Überprüfungen dann eher rechnen. Das Wettrennen zwischen Angreifern und Verteidigern wird aber wohl weitergehen: Die automatische Bugsuche kann ja auch als Vorbereitung einer Attacke dienen, andererseits könnten auch die Bugfixes automatisch programmiert werden.

IT-Risiko steigt an

Adrian Dabrowski forscht über IT-Security.
Bild: Daniel AJ Sokolov Problematisch bleibt aber die oft lange Zeit zwischen Entdeckung einer Sicherheitslücke und dem Einspielen der passenden Patches: "Da werden wir ganz andere Methoden brauchen, wie Updates umgesetzt werden", so Dabrowski. Und speziell für weniger verbreitete Systeme könnte sich das Risiko deutlich erhöhen.

Denn für Angreifer, die es nicht auf ein spezifisches Ziel abgesehen haben, rechnet es sich heute oft nicht, bei exotischer Software nach Lücken zu suchen. Wenn das aber durch Automatisierung deutlich günstiger werden sollte, würden sich auch Attacken gegen seltenere Software auszahlen – und damit wesentlich wahrscheinlicher werden.

CGC mit Spielelementen

Für den Sieg in der Cyber Grand Challenge war übrigens nicht ausschließlich die beste autonome Security-Software verantwortlich. Da nach jeder Runde Informationen geteilt wurden, waren auch spieltheoretische Algorithmen wichtig. Das gezielte Pausieren von Attacken oder bewusstes Verzichten auf Patches konnte Vorteile bringen.

Die Schiedsrichter und ihre Rechner überprüfen in einer Nachtschicht die Daten, bevor der Sieger bestätigt wird.
Bild: CGC "Wir betrachten [die CGC] als ersten Schritt", sagte Professor David Brumley, Kapitän des laut vorläufigem Gesamtergebnis siegreichen Teams Forallsecure, "Wir werden einen vollständigen Bericht darüber schreiben, was wir gemacht haben. Und er wird auch einige Dinge enthalten, die nicht funktioniert haben."

Darüber hinaus wird die DARPA die eingesetzte Software, die anfälligen wie die automatisch programmierten Binaries und die beim Bewerb erzeugten Daten veröffentlichen. "Unsere Ergebnisse sind in der Public Domain", machte Walker zum Abschluss aufmerksam, "Damit sie analysiert, reverse engingeered und gehackt werden können, damit darauf aufgebaut und geträumt wird." (ds)