DARPA bietet 2 Millionen für die automatisierte Suche und Beseitigung von Schwachstellen

Jeder geht auf seine Art gegen Bugs vor. Microsoft hat beispielsweise damit angefangen, im Rahmen des Blue Hat Prize Prämien für die Umgehung des Schutzes zu zahlen. Nun ist ein neuer Player auf dieser Bühne aufgetaucht: Die Behörde des US-Verteidigungsministeriums, Defence Advanced Research Project Agency, DARPA, bietet 2 Millionen Dollar für die Entwicklung eines automatisierten Netzwerk-Schutzsystems, das Sicherheitslücken nicht nur sucht und identifiziert, sondern diese auch on-the-Fly repariert.

Der Wettbewerb Cyber Grand Challenge (CGC) wurde offiziell am 22. Oktober eröffnet, Teilnahmeanträge werden bis zum 14. Januar angenommen, daraufhin wird DARPA Auswahlrunden durchführen, bei denen sich die Expertenteams für das Finale qualifizieren können, das für die erste Jahreshälfte 2016 geplant ist. Um eine breite Teilnahme zu gewährleisten und den Teams die Arbeit zu erleichtern, eröffnet DARPA auf der Website darpa.mil/cybergrandchallenge entsprechende Foren.

Die Wettbewerber sollen ein System entwickeln, das ohne Beteiligung von Menschen funktioniert und in der Lage ist, sich in Echtzeit mit anderen Analogen bei der Suche und Entfernung von Sicherheitslücken zu messen. „Der Wachstumstrend im Bereich Cyberattacken und Malware macht die Notwendigkeit der Entwicklung von Systemen deutlich, die in der Lage sind, den IT-Sicherheitsexperten künftig helfend zur Seite zu springen.“, erläutert Dan Kaufman, Leiter der Abteilung für IT‑Innovationen bei DARPA und Kurator des CGC.

Es ist anzunehmen, dass sich die Arbeitsgruppen der Teilnehmer aus Experten verschiedener Richtungen zusammensetzen werden: Spezialisten in den Bereichen Reverse Engineering, Codeanalyse, Computersicherheit usw. Zunächst werden sie ein automatisiertes System entwickeln müssen, das Programmpakete auf Sicherheitslücken überprüft. Wenn ein solches System in der Lage ist, Bugs automatisch zu identifizieren und zu analysieren, kommen die Entwickler eine Runde weiter. Das finale System sollte Fehler in Programmen klar diagnostizieren, im Netz suchen und verwundbare Knoten schützen können und zudem die korrekte Funktion der gesamten installierten Software gewährleisten. Die Sieger erhalten einen Preis in Höhe von 2 Millionen Dollar, die Prämien für den zweiten und dritten Platz betragen 1 Million Dollar und 750.000 Dollar respektive.

Der Initiator von CGC plant nicht, die weitere Verbreitung der Technologien zu kontrollieren, die während des Wettbewerbs entwickelt werden – er möchte lediglich das Recht auf die Lizenzierung zu vernünftigen Bedingungen erwerben. Eingeladen an dem Wettbewerb teilzunehmen, sind erfreulicherweise nicht nur Amerikaner, sondern auch Bürger anderer Länder.

Die Idee zu dem Wettstreit wurde laut DARPA aufgrund der Unvollkommenheit moderner Schutzmechanismen geboren, als da wären Signatur-basierte und statische Analyse, Fuzzing, Kontrolle der Datenströme usw. „Die Wettbewerber verbessern und vereinen diese halbautomatischen Technologien in einem „unbemannten“ intelligenten System, das autonom neue Programmfehler erfassen, das Vorhandensein von Schwachstellen in Netzanwendungen bestätigen und eine effektive Verteidigung bereitstellen kann.“, resümiert DARPA in seiner Erklärung. „Der Mensch erstellt Signaturen mittels einer Programmanalyse, indem er seinen Verstand einsetzt. Im Fall eines vollständig automatisierten Cyberschutzsystems, das in der Lage ist, Programmprodukte sinnvoll zu analysieren, wird eine eigene Wissensdatenbank erstellt, indem das System autonom solche Teile ausgliedert und verwendet, wie Sicherheitslücken-Signaturen, die vom Scanner erkannt wurden, Signaturen zur Erkennung von unautorisiertem Eindringen und Patches für Lücken im Schutz.“

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.