Cyber Grand Challenge: Unsichere Computer heilten sich selbst

Die Cyber Grand Challenge der DARPA zeigte, dass sich Umwälzungen in der IT-Security anbahnen. 7 vernetzte, autonom agierende Systeme hackten einander und schrieben Hunderte Programme neu, um Sicherheitslücken zu schließen. Ganz ohne menschliches Zutun.

Im Windschatten der selbstfahrenden Autos kommen die sich selbst reparierenden Computersysteme. Das hat das erste ausschließlich von autonomen Computern bestrittene Hacking-Turnier der Welt gezeigt, dessen Finale am Donnerstag (Ortszeit) in Las Vegas stattgefunden hat. Für das Endspiel dieser Cyber Grand Challenge der US-Militärforschungseinrichtung DARPA hatten sich sieben Teams qualifiziert. Ihre Systeme traten in 96 Runden gegen einander an, um Sicherheitslücken zu finden, sie auszunutzen und/oder zu schließen.

Menschen waren bei dem Turnier nur Zuschauer. Die Teams durften nicht eingreifen und konnten es auch nicht: Die sieben Systeme waren zwar untereinander und mit einem Schiedsrichtersystem vernetzt, aber von außen nicht erreichbar. Damit der Spielverlauf verfolgt werden konnte, wurden Daten aus dem geschlossenen Netz regelmäßig auf BluRay-Scheiben gebrannt, die ein Roboter anschließend über eine Barriere ("Air Gap") hob. Auf der anderen, "öffentlichen" Seite wurden die Daten dann ausgelesen.

Das vorläufige Siegerteam Forallsecure
Bild: Screenshot

(Security + Evaluation) x Availability = Score

Die Hardware aller Systeme war gleich, auch das Betriebssystem, ein vereinfachtes Linux-System namens DECREE (DARPA Experimental Cybersecurity Research Evaluation Environment), war zumindest zu Beginn identisch. Nur die von den Teams entwickelten autonomen Security-Systeme unterschieden sich. Nach und nach übermittelten die Spielleiter neue Binaries, die auf allen Rechnern installiert und ausgeführt werden mussten. Diese Binaries enthielten diverse Serverdienste mit unterschiedlichen Sicherheitslücken.

Mit aufwändigen Animationen und zwei "Sportreportern" wurde das Publikum bei Laune gehalten.
Bild: Adrian Dabrowski Die autonomen Computer mussten diese Binaries analysieren und versuchen, gefundene Sicherheitslücken bei den Gegnern zu dokumentieren ("Proof of Vulnerability"). Gleichzeitig galt es, das eigene System zu verteidigen, ohne die Funktionsfähigkeit der Software einzuschränken oder sie auszubremsen. Erlaubt waren sowohl generische Schutzmaßnahmen als auch das Umschreiben der Programme.

Während des Einspielens eines Patches war aber der jeweilige Dienst nicht verfügbar, was Punkteabzug bedeutete. Denn für die Berechnung wurden in jeder der 96 Runden die Punkte für die Verteidigung des eigenen Systems und Beweise der Verletzbarkeit fremder Systeme addiert und dann mit der Verfügbarkeit des eigenen Systems multipliziert.

Sechs historische Bugs mit dabei

Unter den Sicherheitslücken waren auch Nachbildungen sechs berühmter, historischer Bugs, darunter Heartbleed, SQL Slammer, Sendmails Crackaddr sowie die von Stuxnet ausgenutzte .LNK-Lücke. Letztere in der Version nach Microsofts erstem Bugfix 2010, der erst fünf Jahre später (!) wirklich geschlossen wurde. Aber gleich sechs der sieben automatischen Systeme fanden umgehend einen Fix.

"Heute haben wir gesehen, wie Maschinen viele Sicherheitslücken geschlossen haben, die in ihrer Software waren, ohne die Software zu beschädigen oder die Verfügbarkeit [einzuschränken]. Bei den sechs [historischen Sicherheitslücken] fanden die Maschinen innerhalb der vorgegebenen Zeit Bugfixes für fünf davon", berichtete DARPAs Projektleiter Mike Walker nach dem Turnier stolz. "Sie waren nicht so schwierig, wie im Original […] aber immer noch enorm schwierig." Speziell beeindruckt war Walker von einem automatisch erstellten Fix für den Crackaddr-Bug.

Das vorĺäufige Endergebnis der Cyber Grand Challenge
Bild: DARPA

Die autonomen Maschinen hätten 421 Ersatzbinaries programmiert und 650 einzigartige Beweise für Sicherheitslücken in den gegnerischen Systemen gefunden, sagte Walker. Für den Beweis einer Lücke reichte ein herbeigeführter Programmabsturz oder der Zugriff auf eigentlich unzugängliche Speicherbereiche. Auch das Kopieren bestimmter Codes brachte Punkte ("Capture the Flag").

Deutscher in drittplatziertem Team

Das endgültige Ergebnis wird erst am Freitag verraten. In der Nacht werden die gesammelten Daten überprüft. Nach dem vorläufigen, inoffiziellen Endstand geht der Sieg an das System Mayhem der Firma Forallsecure aus Pittsburgh. Xandra des Team Techx erzielte demnach 262.000 Punkte, was für Platz zwei reichen würde. Techx umfasst Mitarbeiter der Firma GrammaTech aus Ithaca, New York, sowie Studierende der Universität von Virginia. Beide hatten ihre Teilnahme durch einen Vertrag mit der DARPA finanziert.

Kevin Borgolte (links) unter Teamkollegen während des CGC-Finales
Bild: Adrian Dabrowski Der wahrscheinlich einzige Deutsche im Finale, Kevin Borgolte, durfte sich mit seinem Team Shellphish und dessen System Mechaphish über den dritten Platz freuen (254.500 Punkte). Der Troisdorfer ist Doktorand an der University of California Santa Barbara, wo auch Shellphish gegründet wurde. Es war das bestplatzierte unter den selbstfinanziert in die Qualifikation gegangenen Teams. "Wir sind unglaublich glücklich, dass das alles so gut geklappt hat", sagte Borgolte gegenüber heise online, "hoffentlich bleibt es bei den Ergebnissen nach der Verifikation."

Der dritte Platz würde 750.000 US-Dollar Preisgeld bedeuten. Dem Sieger kommen zwei Millionen Dollar zu, dem Zweitplatzierten eine Million. Alle Finalisten hatten bereits nach ihrer erfolgreichen Teilnahme an einem Qualifikationsturnier 750.000 Dollar von der DARPA bekommen, um sich auf das Endspiel vorbereiten zu können. "Bei uns war es ein unglaublich extremer Sprint über die letzten drei Monate, um alles perfekt hinzukriegen", verriet der Deutsche. "Schon seit der Qualifikation stand das Grundgerüst, aber das Meiste ist in den letzten Monaten passiert." (ds)