Autonome Systeme und Künstliche Intelligenz: Maschinen und Hacker kooperieren bei Hacking-Wettbewerben

Bei der Cyber Grand Challenge traten Computer zu einem Hacking-Turnier an – autonom, ohne Menschen. Der Erfolg war so groß, dass rein menschliche Hacking-Teams seither als Dinosaurier gelten. Militärs sind sehr an den neuen Möglichkeiten interessiert.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 63 Beiträge
Rechnerschränke verschiedenfarbig beleuchtet

Die Rechner der Cyber Grand Challenge wurden mit gut 1.000 Litern Wasser pro Minute gekühlt.

(Bild: Adrian Dabrowski (bearbeitet))

Von
  • Daniel AJ Sokolov

Im August hatte die US-Militärforschungseinrichtung DARPA das Finale des ersten ausschließlich von autonomen Computern bestrittenen Hacking-Turniers ausgerichtet: Die Cyber Grand Challenge (CGC). Inzwischen sind die nachhaltigen Auswirkungen deutlich. Auch bei klassischen Hacking-Wettbewerben für Menschen sind autonome Systeme mit dabei.

Mehr Infos

Laut Tyler Nighswander, Mitglied des CGC-Siegerteams Forallsecure, müssen die jeweiligen Stärken der menschlichen Hacker und der autonomen Software richtig eingeschätzt werden. Beide Ressourcen passend einzusetzen, ist einer der Schlüssel zum Sieg, wie er im Interview mit heise online sagte: "Ich kann mir nicht vorstellen, dass unser Team ins finstere Mittelalter zurückkehrt und sich nur auf Menschen verlässt."

Das Aufspüren von Bugs sowie deren Beseitigung sei Stärke der autonomen Systeme, während die aktive Ausnutzung von Sicherheitslücken vorerst menschliche Domäne bleibe. Dass Veranstalter autonome Software untersagen, glaubt Nighswander nicht: "Der Punkt ist doch, den aktuellen Stand der Computersicherheit abzubilden", erklärte der Security-Forscher, "Die Wettbewerbe werden wahrscheinlich so gestaltet werden, dass sie jene Fälle herausstreichen, in denen [autonome] Computer wirklich gut sind, und ebenso die Bereiche, in denen [autonome] Computer aufs Gesicht fallen."

Das CGC-Siegerteam Forallsecure mit Tyler Nighswander (2.v.l.)

(Bild: Screenshot)

Die Verantwortlichen der DARPA waren vom Erfolg ihrer Cyber Grand Challenge sehr angetan. Vor allem der Umstand, dass die autonomen Systeme neben den absichtlich eingebauten Bugs auch mehrere zuvor unbekannte Probleme aufdeckten, beeindruckte die Veranstalter.

"Ein System hat einen Bug gefunden, von dem wir nichts wussten, und eine [erfolgreiche] Attacke gegen ein anderes System gestartet", nannte John Launchbury, Chef des Information Innovation Office der DARPA bei einem Vortrag auf der Usenix Enigma Anfang des Monats ein Beispiel, "Ein drittes System hat das beobachtet, den Angriff reverse engineered, den Bug gefunden, einen Patch geschrieben und bei sich selbst installiert. All das binnen 20 Minuten."

Interview mit CGC-Sieger Tyler Nighswander Nighswander ist Security-Experte der US-Firma Forallsecure (Quelle: Daniel AJ Sokolov)

Der nächste Schritt für die Militärs ist, die Selbstheilungskräfte der autonomen Systeme für den Einsatz in militärischen Systemen weiterzuentwickeln. Dabei spielt die Defense Innovation Unit Experimental (DIUX) des US Cyber Command eine Schlüsselrolle. Sie soll mithilfe kommerzieller Partner die neuesten IT-Fortschritte in Militärsysteme übertragen.

Doch auch DARPA-Entwicklungen, darunter die Erfahrungen aus der CGC, fließen in die DIUX-Feldversuche ein. "Die wichtigste Lehre, die wir aus der CGC gezogen haben, ist, dass Maschinen durchaus Hacking-Prozesse abspulen können, also Lücken finden, Reverse Engineering, Exploits entwickeln. […] Was [mit Menschen] Monate oder Jahre dauert, hat sich [in Minuten] vor unseren Augen abgespielt", verdeutliche Lieutenant Colonel Timothy Booher im Interview mit heise online, "Hätte es diese Systeme [damals] schon gegeben, wären Dinge wie Heartbleed automatisch entdeckt worden, bevor sie Milliardenschäden angerichtet hätten."

John Launchbury, DARPA, auf der Usenix Enigma 2017

(Bild: Daniel AJ Sokolov)

Booher ist Reservist bei der DIUX und hauptberuflich DARPA-Mitarbeiter. Er war auch bei der CGC in offizieller Funktion dabei. "Bei der DARPA bauen wir die Zukunft und treiben die Technik voran. Dann suchen wir die richtigen Partner, um die junge aber wichtige Technik ins Feld zu bringen." Und die Sieger der Cyber Grand Challenge seien dafür ideale Kandidaten. "Sie wissen besser als irgend jemand anders, wie man Cyber Reasoning Systeme baut. Und die Streitkräfte müssen solche Systeme, die in einem sterilen Testumfeld funktionieren, auf echte Geräte übertragen."

Bei der Cyber Grand Challenge im August 2016 musste die Rechner ohne menschliche Unterstützung bei den gegnerischen Rechnern Sicherheitslücken finden und gleichzeitig sich selbst verteidigen, etwa in dem sie Patches programmierten und damit ihren eigenen Programmcode änderten. Der Erfolg war durchschlagend: Die Systeme fanden nicht nur die meisten absichtlich platzierten Sicherheitslücken, sondern auch unbeabsichtigt vorhandene Bugs.

Interview mit Lt. Col. Tim Booher, DARPA Booher ist zudem Reservist bei der für IT-Feldversuche zuständigen Einheit DIUX (Quelle: Daniel AJ Sokolov)

Unmittelbar im Anschluss an die Cyber Grand Challenge fand der berühmte Capture-the-Flag-Wettbewerb der DefCon statt. Dabei zeigte sich, dass menschliche Hacker noch nicht ausgedient haben. Das vollautonome CGC-Siegersystem konnte den Hybrid-Teams mit Menschen und autonomen Systemen nicht das Wasser reichen.

Mit aufwändigen Animationen und zwei "Sportreportern" wurde das CGC-Publikum bei Laune gehalten.

(Bild: Adrian Dabrowski)

Ob es eine zweite CGC geben wird ist, noch nicht entschieden. "Wir bei der DARPA sind begeistert über [die CGC]. Es wird viel diskutiert, wie es weitergeht", verriet Booher, "Eine Option, die auf dem Tisch liegt, ist eine mögliche Chance für kombinierte Teams aus Maschinen und Menschen. Das ist eine sehr mächtige Fähigkeit. […] Diese [autonomen] Werkzeuge haben demonstriert, sich auch [an zuvor unbekannte Situationen] anpassen zu können. Das ist etwas, was sie in Zukunft sehr wertvoll [...] machen wird." (ds)