2016年サイバーグランドチャレンジ
サイバーグランドチャレンジ(CGC)
日付2016年8月4日[ 1 ]
時間午前9時から午後8時まで[ 1 ]
間隔11時間[ 1 ]
会場パリ ホテル&カンファレンス センター[ 2 ]
位置ネバダ州ラスベガス[ 2 ]

2016年のサイバーグランドチャレンジ(CGC)は、ソフトウェアの欠陥をリアルタイムで発見、証明、修正できる自動防御[ 3 ]システムを開発するために国防高等研究計画局(DARPA)によって作成されたチャレンジでした。

このイベントは、いわゆる「世界初の自動ネットワーク防衛トーナメント」で、機械対機械(人間の介入なし)の戦いでした。[ 4 ]

最終イベントは、2016 年 8 月 4 日にネバダ州ラスベガスのパリ ホテル & カンファレンス センターで開催された第 24 回DEF CONハッカー コンベンションの一環として開催されました。

構造的には長年続くセキュリティ競技のキャプチャ・ザ・フラッグ(CTF)に似ており、優勝したシステムはその後数日後に開催された「クラシック」なDEF CON CTFで実際に人間と対戦しました。しかし、サイバー・グランド・チャレンジでは、より標準化された採点システムと脆弱性検証システムが採用されました。すべてのエクスプロイトとパッチ適用済みのバイナリが提出され、審判インフラによって評価されました。[ 5 ]

CGC に加えて、DARPA は他の技術分野で も賞のコンテストを実施しています。

背景

脆弱性を悪用しようとする犯罪者と、重大な被害が出る前に評価、修正、確認、パッチの適用を行うアナリストの間で競争が繰り広げられています。[ 3 ]専門家は、複雑な推論を行った後に各セキュリティ署名とソフトウェアパッチを手動で作成するという、数か月と多額の費用がかかる技術的プロセスに従います。[ 3 ]この結果、攻撃者に有利なさまざまなソフトウェアの脆弱性が生じています。[ 2 ] [ 3 ]スマートテレビ、ウェアラブル技術、インターネットに接続される高級家電製品などのデバイスは、必ずしもセキュリティを考慮して製造されているわけではなく、さらに公共システム、電力網、信号機などは攻撃を受けやすい可能性があると DARPA は述べています。[ 4 ]

これらの課題を克服するため、DARPAは2014年にサイバーグランドチャレンジを開始しました[ 6 ]。これは、欠陥を推論し、パッチを策定し、ネットワークにリアルタイムで展開できる自動防御システムの開発を目指す2年間のコンテストです。このコンテストは2つのメインイベントに分かれており、2015年に開催されるオープン予選イベントと、2016年に開催される決勝イベントには、予選通過チームの上位7チームのみが参加できます。決勝イベントの優勝者には、200万ドルの賞金と、第24回DEF CONキャプチャー・ザ・フラッグ大会で人間と対戦する機会が与えられます[ 7 ] 。

テクノロジー

チャレンジバイナリ

チャレンジバイナリは、簡素化されたABIではあるものの、完全な32ビットIntel x86アーキテクチャ上で動作しました。[ 8 ]

ベース コンポーネントへの外部のやり取り (明確に定義された I/O のためのシステム コール、動的なメモリ割り当て、単一のランダム ソースなど) を減らすことで、モデリングとバイナリを分離して安全に実行し、その動作を観察することが簡素化されました。

しかし、内部の複雑さは無制限であり、課題は粒子物理シミュレータ、[ 9 ] チェス、[ 10 ] プログラミング/スクリプト言語、[ 11 ] [ 12 ] 膨大な量のマークアップデータの解析、[ 13 ] ベクターグラフィックス、 [ 14 ]ジャストインタイムコンパイル[ 15 ] VM[ 16 ]などの 実装にまで及びました。

チャレンジの作成者自身は、プレイヤーの相対的なパフォーマンスをどれだけうまく区別できたかに基づいて採点され、チャレンジが自動推論の特定の弱点(状態爆発など)を鍛えながら、適切に構築されたシステムによって解決可能なままになるように奨励されました。

プレイヤーシステム

各プレイシステム(完全に自動化された「サイバー推論システム」(CRS))は、コンピュータセキュリティのいくつかの分野で能力を発揮する必要がありました。

各チームは様々な場で自分たちのアプローチについて説明しました。[ 17 ] [ 18 ] さらに、3位入賞チーム(Shellphish)はシステム全体のソースコードを公開しました。[ 19 ]

タスクの複雑さから、プレイヤーは複数の手法を組み合わせ、完全に無人かつ時間効率の高い方法で実行する必要がありました。例えば、最高の攻撃スコアは、ガイド付きファジングシンボリック実行の組み合わせ、つまりAFLベースのファジングツールとangrバイナリ解析フレームワークを組み合わせ、QEMUベースのエミュレーションおよび実行トレースシステムを活用して脆弱性を発見することで達成されました。[ 18 ]

CGC 資格イベント (CQE)

CGC予選イベント(CQE)は2015年6月3日に開催され、24時間続きました。[ 20 ] CQEには2つのトラックがありました。提案に基づいてDARPAによって選ばれた7チームが参加する資金提供トラック(チームあたり最大75万ドルの賞金)と、自己資金で参加できるどのチームでも参加できるオープントラックです。100を超えるチームが国際的に登録し、28チームが予選イベントに進みました。[ 21 ]イベント中、チームには131の異なるプログラムが与えられ、脆弱性を見つけるだけでなく、パフォーマンスと機能を維持しながら自動的に修正することが課題となりました。全体として、すべてのチームは提供された131のプログラムのうち99のプログラムで脆弱性を特定することができました。[ 22 ]競合他社からのすべての提出物を収集した後、DARPAはパッチ適用と脆弱性発見の能力に基づいてすべてのチームをランク付けしました。

アルファベット順の上位7チームと決勝進出チームは以下の通りである[ 23 ]。

  • CodeJitsu、カリフォルニア大学バークレー校、Cyber​​haven、シラキュース大学(資金提供トラック)の研究者チーム。
  • CSDS、アイダホ大学の研究者チーム(オープントラック)。
  • レイセオンの専門エンジニアチーム「ディープレッド」(オープントラック)。
  • disekt は、他のチーム、大学、組織 (オープン トラック) が主催するさまざまな Capture the Flag セキュリティ コンテストに参加するコンピューター セキュリティ チームです。
  • 研究者とセキュリティ専門家で構成されたセキュリティ スタートアップ企業 ForAllSecure (資金提供トラック)。
  • Shellphish、カリフォルニア大学サンタバーバラ校 (オープントラック) のハッキング チーム。
  • TECHx は、 GrammaTech社とバージニア大学 (資金提供を受けたトラック)のソフトウェア分析専門家のチームです。

予選通過後、上記の 7 チームはそれぞれ、最終イベントの準備のために 75 万ドルの資金を受け取りました。

CGC ファイナルイベント (CFE)

CGC決勝イベント(CFE)は2016年8月4日に開催され、11時間続きました。[ 3 ]決勝イベントでは、決勝進出者は全自動キャプチャー・ザ・フラッグ競技でマシン同士が対戦しました。[ 4 ]予選を通過した7チームはそれぞれ、賞金総額約400万ドルを分け合う上位3位を競いました。[ 4 ]

最終結果

サイバーグランドチャレンジ (CGC) 決勝イベントの優勝システムは次のとおりです。

  1. 「メイヘム」[ 24 ] - ペンシルベニア州ピッツバーグのForAllSecureが開発 - 200万ドル
  2. 「Xandra」 - ニューヨーク州イサカのGrammaTech Inc.とバージニア州シャーロッツビルのUVaからなるチームTECHxが開発 - 100万ドル
  3. 「Mechanical Phish」 - Shellphish社(カリフォルニア州サンタバーバラ)開発- 75万ドル

他の競合システムは次のとおりです。

  • ルベウス[ 24 ] - バージニア州アーリントンのレイセオン社ディープレッド社によって開発された。
  • Galactica - カリフォルニア州バークレー、ニューヨーク州シラキュース、スイスのローザンヌの CodeJitsu によって開発されました
  • Jima - アイダホ州モスクワの CSDS によって開発されました。
  • Crspy - ジョージア州アセンズの disekt によって開発されたシステム。

参照

参考文献

  1. ^ a b c「サイバーグランドチャレンジイベント情報(ファイナリスト向け)」(PDF) . Cyber​​grandchallenge.com . 2017年4月28日時点のオリジナル(PDF)からアーカイブ。 2016年7月17日閲覧
  2. ^ a b c「サイバーグランドチャレンジ(CGC)はサイバー防御プロセスの自動化を目指す」Cyber​​grandchallenge.com2016年8月1日時点のオリジナルよりアーカイブ。 2016年7月17日閲覧
  3. ^ a b c d eウォーカー、マイケル。 「脆弱性悪用しようとする悪意のある人物と、重大な損害が発生する前に評価、修復、テスト、パッチ適用を行うアナリストの間で競争が繰り広げられる」。darpa.mil 。 2016年7月17日閲覧
  4. ^ a b c dグレッグ・ウエノ(2016年7月5日)「スマートテレビ、ウェアラブル技術、公共システム、電力網、そしてサイバー攻撃を受けやすい環境」Live Science2016年7月17日閲覧
  5. ^CRS チームインターフェース API」。GitHub -- プレイヤー同士が直接攻撃し、自分のVMを自由に変更する従来のCTFゲームとは対照的である。
  6. ^ Chang, Kenneth (2014年6月2日). 「サイバーセキュリティの自動化」 .ニューヨーク・タイムズ. ISSN 0362-4331 . 2016年9月6日閲覧。 
  7. ^ Tangent, The Dark. 「DEF CON® 24 Hacking Conference」 . defcon.org . 2016年9月6日閲覧。
  8. ^CGC ABI」。GitHub
  9. ^ "CROMU_00002" . GitHub .
  10. ^ "CROMU_00005" . GitHub .
  11. ^ "KPRCA_00038" . GitHub .
  12. ^ "KPRCA_00028" . GitHub .
  13. ^ "CROMU_00015" . GitHub .
  14. ^ "CROMU_00018" . GitHub .
  15. ^ "KPRCA_00002" . GitHub .
  16. ^ "KPRCA_00014" . GitHub .
  17. ^ IEEE Security & Privacy誌特集号:「人間なしのハッキング」 IEEE Security & Privacy 16 ( 2). IEEE Computer Society. 2018年3月. ISSN 1558-4046 . 
  18. ^ a b Shellphishなどの個々のコンポーネントに関する出版物Stephens N, Grosen J, Salls C, Dutcher A, Wang R, Corbetta J, Shoshitaishvili Y, Kruegel C, Vigna G (2016). Driller: 選択的シンボリック実行によるファジングの強化(PDF) . Network & Distributed System Security Symposium (NDSS). Vol. 16.
  19. ^ 「Mechanical Phish」 . GitHub .
  20. ^ 「サイバーグランドチャレンジ」 。2016年9月11日時点のオリジナルよりアーカイブ
  21. ^ 「DARPA サイバー グランド チャレンジ: 競技者の視点」
  22. ^ 「合法ビジネスシンジケート:サイバーグランドチャレンジとは?」blog.legitbs.net . 2016年9月6日閲覧
  23. ^ 「DARPA | サイバー・グランド・チャレンジ」www.cybergrandchallenge.com2016年8月1日時点のオリジナルよりアーカイブ2016年9月6日閲覧。
  24. ^ a b「メイヘムがCGCで1位に」 2016年8月7日. 2016年8月13日閲覧
「 https://en.wikipedia.org/w/index.php?title=2016_Cyber​​_Grand_Challenge &oldid =1324023734」より取得