'Mayhem' ha vinto un concorso DARPA attaccando i suoi rivali in vista del DEF CON

Un sistema chiamato Mayhem è stato dichiarato il presunto vincitore di una nuova competizione rivoluzionaria che mette a confronto le macchine con le macchine. La Cyber ​​Grand Challenge (CGC), gestita dal laboratorio DARPA del Dipartimento della Difesa degli Stati Uniti, si è descritta come la prima competizione al mondo per l'hacking. Il gioco non ha comportato alcuna interazione umana: i sistemi sono stati sfidati a scoprire, correggere e sfruttare bug in pochi secondi che potrebbero non essere stati scoperti per mesi.

Il CGC si è concluso in una grande finale a Las Vegas giovedì sera in vista della convention di hacker DEF CON. La fine di una competizione triennale, il gran premio del CGC di $ 2 milioni in contanti ha spinto alcune delle menti migliori della sicurezza informatica a dargli il massimo.

Mayhem dovrebbe essere invitato a competere contro gli umani venerdì al DEF CON. Sarà la prima volta che una macchina parteciperà alla competizione "Cattura la bandiera" del DEF CON.

"Questa potrebbe essere la fine della Cyber ​​Grand Challenge della DARPA, ma è solo l'inizio di una rivoluzione nella sicurezza del software", ha dichiarato Mike Walker, responsabile del programma DARPA che ha lanciato la sfida nel 2013, in una nota.

Nel CGC, sette sistemi completamente automatizzati hanno gareggiato in una fase finale di 96 round di quasi 10 ore. In quel periodo analizzarono programmi scritti appositamente, cercarono di trovare difetti che li avrebbero portati a "morire" e li sistemarono. Allo stesso tempo, i sistemi miravano a sfruttare i difetti dei loro rivali prima che potessero difendersi.

Il professor David Brumley, un co-fondatore del team di Mayhem ForAllSecure, è un appassionato sostenitore del CGC. In un post sul blog in vista della finale, ha spiegato che la competizione offre ai ricercatori la possibilità di confrontare, contrastare e individuare i modi migliori in cui i sistemi potrebbero risolverli automaticamente.

Team @ForAllSecure con un giorno prima del concorso #DARPACGC. pic.twitter.com/FkjRMQUhFD

- David Brumley (@thedavidbrumley), 3 agosto 2016

"Pensaci: se potessimo sviluppare computer in grado di individuare automaticamente le vulnerabilità, i bravi ragazzi potrebbero risolverli prima", ha detto Brumley.

ForAllSecure ha spiegato che il sistema vincente Mayhem funziona in due parti: l'esecutore simbolico di Mayhem e un fuzzer diretto chiamato Murphy (dal nome del membro del team, il gatto di John Davis). A differenza dell'analisi più lenta dell'esecutore simbolico, i fuzzer testano i programmi alimentando loro grandi quantità di dati casuali. Murphy è ottimo per trovare rapidamente bug semplici, lasciando Mayhem a trovare problemi più profondi e complessi. I due parlano tra loro attraverso un database, confrontando i risultati.

Mayhem potrebbe aver vinto la battaglia, ma è solo l'inizio. L'innovazione ha le potenzialità per rivoluzionare le industrie: le stime DARPA mostrano che gli exploit in media non vengono scoperti per circa 10 mesi.

"Allo stesso modo in cui il primo volo dei fratelli Wright - anche se non è andato molto lontano - ha lanciato una catena di eventi che ha rapidamente reso il mondo un posto molto più piccolo, ora abbiamo visto per la prima volta l'autonomia coinvolgendo il tipo di il ragionamento richiesto per la difesa informatica ", ha detto Walker. "Si tratta di un enorme progresso rispetto a quello in cui il mondo della cibersione era ieri."