2016 사이버 그랜드 챌린지

2016 Cyber Grand Challenge
Cyber Grand Challenge (Cyber Grand Challenge)
날짜.2016년[1] 8월 4일
시간을오전 9:00 ~ 오후 8:00[1]
지속11시간[1]
장소파리 호텔 & 컨퍼런스[2] 센터
위치라스베이거스, 네바다 주[2]

2016 Cyber Grand Challenge(CGC)는 소프트웨어 결함을 실시간으로 발견, 입증 및 수정할[3] 수 있는 자동 방어 시스템을 개발하기 위해 국방고등연구계획국(DARPA)이 개발한 과제입니다.

이 이벤트에서는 머신 대 머신(인간의 개입 없음)이 「세계 최초의 자동 네트워크 방어 토너먼트」[4]라고 불리는 시합에 참가했습니다.

최종 이벤트는 2016년 8월 4일 미국 네바다주 라스베이거스에 있는 파리 호텔 & 컨퍼런스 센터에서 제24회 DEF CON 해커 컨벤션으로 개최되었습니다.

오랜 기간 이어져 온 깃발잡기(CTF) 보안대회의 모습과 흡사해 며칠 뒤 열린 클래식 DEF CON CTF에서 우승 시스템이 인간과 맞붙었다.그러나 Cyber Grand Challenge는 보다 표준화된 스코어링과 취약성 검증 시스템을 특징으로 했습니다.즉, 모든 부정 이용과 패치가 적용된 바이너리가 심판[5] 인프라스트럭처에 의해 제출되고 평가되었습니다.

배경

취약점을 악용하려는 범죄자와 심각한 피해를 입기 전에 패치를 평가, 수정, 검사 및 배포하는 분석가 사이에 인종이 형성됩니다.[3]전문가들은 복잡한 추론을 수반하는 프로세스를 고수하고, 그 후 각 보안 시그니처와 소프트웨어 패치를 수동으로 작성합니다.이것은 수개월과 비용이 [3]드는 기술 프로세스입니다.이로 인해 다양한 소프트웨어 불안이 [2][3]공격자에게 유리하게 되었습니다.DARPA에 [4]따르면 인터넷에 연결된 스마트 텔레비전, 웨어러블 테크놀로지, 하이엔드 가전제품과 같은 기기는 항상 보안을 염두에 두고 생산되지 않으며, 게다가 유틸리티 시스템, 전력망, 신호등도 공격에 더 취약할 수 있다.

이러한 과제를 극복하기 위해 DARPA는 2014년에 Cyber Grand Challenge를 시작했습니다.이 대회는 결함에 대해 추론하고 패치를 작성하여 네트워크에 실시간으로 도입할 수 있는 자동 방어 시스템을 구축하기 위한 2년간의 대회입니다.이 대회는 크게 2015년에 열리는 오픈 예선전과 2016년에 예선 상위 7개 팀만 참가할 수 있는 최종전으로 나뉘었다.최종 이벤트의 우승자에게는 200만 달러의 상금이 주어지고, 제24회 DEF CON에서 인간과 경기할 수 있는 기회가 주어집니다.[7]

테크놀로지

챌린지 바이너리

챌린지 바이너리는 32비트 인텔 x86 아키텍처 상에서 실행되지만 [8]ABI는 단순화되어 있습니다.

기본 구성요소에 대한 외부 상호 작용(예: 잘 정의된 I/O, 동적 메모리 할당 및 단일 랜덤 소스 요구)을 줄임으로써 바이너리의 동작을 관찰하기 위해 바이너리를 모델링하고 안전하게 실행할 수 있게 되었습니다.

그러나 내부 복잡성은 제한되지 않았으며 입자 물리학 시뮬레이터,[9] 체스,[10] 프로그래밍/스크립트 언어,[11][12] 방대한 양의 마크업 [13]데이터 구문 분석, 벡터 그래픽,[14] 저스트타임 [15]컴파일,[16] VM 등에 이르기까지 다양한 과제가 있었습니다.

과제 작성자 자체는 참가자의 상대적 성과를 얼마나 잘 구별했는지를 기준으로 점수를 매겨, 잘 구성된 시스템에 의해 해결 가능한 상태로 유지하면서 자동 추론의 특정 약점(예: 상태 폭발)을 행사하도록 과제를 장려했다.

플레이어 시스템

각 플레이 시스템 - 완전 자동화된 "사이버 추론 시스템"(CRS)은 컴퓨터 보안의 여러 분야에서 능력을 입증해야 했습니다.

  • 이전에 알 수 없는 바이너리에 대한 자동 취약성 검색.
  • 성능 저하 없이 바이너리 자동 패치 적용
  • 프레임워크의 제한 범위 내에서 자동 악용 생성.
  • 보안 전략 구현: 사용 가능한 서버 간의 자원 할당 균형 조정(멀티방식의 밴디트 문제의 변형), 경쟁사 대응(패치의 분석, 악용에 대한 대응 등), 최종 점수에 대한 자체 액션의 영향 평가 등...

팀들은 [17]다양한 장소에서 그들의 접근 방식을 설명했습니다.[18] 또한 3위 피니셔(Shellphish)는 전체 시스템의 소스 [19]코드를 공개했습니다.

작업의 복잡성 때문에, 참가자들은 여러 기술을 조합해야 했고, 완전히 참석하지 않고 시간 효율적인 방식으로 그렇게 해야 했습니다.예를 들어, QEMU 기반 에뮬레이션 및 실행 추적 [18]시스템을 활용하여 AFL 기반 퍼저와 같은 유도 퍼저와 심볼릭 실행의 조합을 통해 취약성을 발견함으로써 가장 높은 공격 점수에 도달했다.

CGC 인정 이벤트(CQE)

CGC 예선전(CQE)은 2015년 6월 3일 24시간 동안 열렸다.[20]CQE에는 2개의 트랙이 있었습니다.DARPA가 제안서에 근거해 선정한 7개 팀의 자금 지원 트랙(팀당 최대 75만달러의 상금과 함께)과 자기 자금 지원 팀이라면 누구나 참가할 수 있는 오픈 트랙입니다.100개 이상의 팀이 국제적으로 등록했고 28개 팀이 예선 이벤트에 [21]진출했다.이벤트 기간 동안 팀에는 131개의 다른 프로그램이 제공되어 퍼포먼스와 기능을 유지하면서 취약점을 발견하고 자동으로 수정하는 데 어려움을 겪었습니다.모든 팀은 제공된 131개의 프로그램 [22]중 99개의 취약점을 파악했습니다.DARPA는 경쟁사로부터 제출받은 모든 자료를 수집한 후 패치 적용 및 취약성 검색 능력에 따라 모든 팀의 순위를 매겼습니다.

알파벳 순으로 상위 7개 팀과 결승 진출자는 다음과 같습니다.[23]

  • CodeJitsu는 캘리포니아 대학교 버클리, 사이버헤븐, 시러큐스(자금 지원 트랙)의 연구팀입니다.
  • CSDS, 아이다호 대학(오픈 트랙)의 연구자 팀.
  • Deep Red는 Raytheon(오픈 트랙)의 전문 엔지니어 팀입니다.
  • diskt는 다른 팀, 대학 및 조직이 주최하는 다양한 Capture the Flag 보안 대회에 참가하는 컴퓨터 보안 팀입니다(오픈 트랙).
  • For AllSecure는 연구원 및 보안 전문가(자금 지원 트랙)로 구성된 보안 스타트업입니다.
  • 캘리포니아 대학 산타 바바라(오픈 트랙)의 해킹 팀 쉘피쉬.
  • TECHx는 GrammaTech, Inc. 및 Virginia University of Virginia(자금 지원 트랙)의 소프트웨어 분석 전문가로 구성된 팀입니다.

예선 통과 후, 위의 7개 팀 각각은 결승전을 준비하기 위해 75만 달러의 자금을 받았다.

CGC 최종 이벤트(CFE)

CGC 파이널 이벤트(CFE)는 2016년 8월 4일에 열렸으며 11시간 [3]동안 진행되었다.최종 이벤트 동안 최종 결승 진출자들은 플래그를 완전히 자동으로 캡처하는 [4]시합에서 서로 마주보는 것을 보았습니다.예선전 7개 팀들은 각각 거의 400만 달러의 [4]상금을 나누게 될 상위 3개의 자리를 놓고 경쟁했다.

최종 결과

Cyber Grand Challenge(CGC) 파이널 이벤트의 우승 시스템은 다음과 같습니다.

  1. "Mayhem"[24] - 펜실베이니아주 피츠버그의 ForAllSecure에서 개발 - 200만달러
  2. "Xandra" - GrammaTech Inc.로 구성된 TECHx 팀이 개발했습니다.뉴욕주 이타카와 버지니아주 샬로츠빌의 UVA.- 백만 달러
  3. "메카니컬 피시" - 캘리포니아 UC 산타바바라 셸피쉬가 개발 - 750,000달러

다른 경쟁 시스템은 다음과 같습니다.

  • Rubeus[24] - 미국 버지니아주 알링턴의 딥 레드, 레이시온 마이클 스티븐슨에 의해 개발되었습니다.
  • Galactica - 미국 캘리포니아 버클리, 뉴욕 시러큐스, 스위스 로잔의 CodeJitsu가 개발
  • Jima - 모스크바의 CSDS, Id.에서 개발.
  • Crspy - 아테네의 질병이 개발한 시스템, Ga.

레퍼런스

  1. ^ a b c "Cyber Grand Challenge Event Information for Finalists" (PDF). Cybergrandchallenge.com. Archived from the original (PDF) on 28 April 2017. Retrieved 17 July 2016.
  2. ^ a b c "The Cyber Grand Challenge (CGC) seeks to automate cyber defense process". Cybergrandchallenge.com. Archived from the original on 1 August 2016. Retrieved 17 July 2016.
  3. ^ a b c d e Walker, Michael. "a race ensues between miscreants intending to exploit the vulnerability and analysts who must assess, remediate, test, and deploy a patch before significant damage can be done". darpa.mil. Retrieved 17 July 2016.
  4. ^ a b c d Uyeno, Greg (5 July 2016). "Smart Televisions, wearable technologies, utility systems, power grids, and more inclined to cyber attacks". Live Science. Retrieved 17 July 2016.
  5. ^ "CRS팀 인터페이스 API".로 선수들 직접적이고 자유롭게 VMs을 바꾸거나 서로를 공격해 클래식 CTF 게임에 반대했다.
  6. ^ Chang, Kenneth (2014-06-02). "Automating Cybersecurity". The New York Times. ISSN 0362-4331. Retrieved 2016-09-06.
  7. ^ Tangent, The Dark. "DEF CON® 24 Hacking Conference". defcon.org. Retrieved 2016-09-06.
  8. ^ "CGC ABI".
  9. ^ "CROMU_00002".
  10. ^ "CROMU_00005".
  11. ^ "KPRCA_00038".
  12. ^ "KPRCA_00028".
  13. ^ "CROMU_00015".
  14. ^ "CROMU_00018".
  15. ^ "KPRCA_00002".
  16. ^ "KPRCA_00014".
  17. ^ IEEE보안 및의 공존 특별한 문제;개인 정보 일기:"인간 없이 해킹".IEEE보안&개인 정보.IEEE컴퓨터 학회. 16(2).3월 2018년.ISSN 1558-4046.
  18. ^ a b Shellphish의 스테판은 N, Grosen JSalls C, Dutcher A, 왕강, Corbetta JShoshitaishvili YKruegel C, 비냐 G(2016년) 같은 개별 요소에 간행물.드릴러:선택적 상징성 실행(PDF)을 통해 Fuzzing Augmenting.네트워크 &, 분산 시스템 보안 심포지엄(NDSS).Vol16.
  19. ^ "Mechanical Phish".
  20. ^ "Cyber Grand Challenge". Archived from the original on 2016-09-11.
  21. ^ "The DARPA Cyber Grand Challenge: A Competitor's Perspective".
  22. ^ "Legitimate Business Syndicate: What is the Cyber Grand Challenge?". blog.legitbs.net. Retrieved 2016-09-06.
  23. ^ "DARPA Cyber Grand Challenge". www.cybergrandchallenge.com. Archived from the original on 2016-08-01. Retrieved 2016-09-06.
  24. ^ a b "Mayhem comes in first place at CGC". August 7, 2016. Retrieved August 13, 2016.

외부 링크