美國國防高級研究計劃局為建立一套能夠替代人類進攻和防御安全人員進行漏洞發現和修復的系統,設立了一個200萬美元的獎項。各個黑客技術研究組織都對該獎項摩拳擦掌、躍躍欲試。
此次大戰中規模最大、曾在2006年 DEF CON 黑客大會上獲勝、黑客成員遍布美國、法國、中國、巴西和塞內加爾等國的Shellphish團隊,在今年三月印度果阿舉辦的Nullcon黑客大會上進行了預演。
美國國防部先進研究項目局早在2014年就已經提出,“網絡空間”未來十年最大的挑戰,將會是漏洞自動發現和修復方面的需求和競爭。美國國防部先進研究項目局賦予了信息安全產業研發漏洞自動發現和修復系統的重任。
從去年六月開始,包括Shellphish在內的七個團隊就獲得了將于今年八月在拉斯維加斯舉行的 DEF CON黑客大會上進行決賽的資格。Shellphish團隊利用其生物遺傳資源框架(ANGR)進行漏洞的自動發現和修復,解開了44道二進制難題,與其他六只隊伍一起獲得了75萬美元項目資金。 ( 詳見:谷歌AlphaGo弱爆了 人機黑客巔峰大戰揭秘 )
據美國國防部先進研究項目局,獲勝團隊將得到第一名200萬美元、第二名100萬美元、第三名75萬美元的獎金。獲得第一名的團隊將就人類黑客在漏洞發現和修復方面進行人機對決。
“我們希望人類能夠取得勝利,否則我們人類就會有大麻煩。”加州大學圣芭芭拉分校成員安東尼奧·比安奇說。“我們需要開發一套系統,可以在無需人工干預的情況下,自動發現程序的漏洞并進行修復。”
大會組委會為參賽團隊準備了一套配備了1280核CPU、16TB內存、128TB存儲的集群讓選手們大展身手。在美國國防高級研究計劃局手冊中,漏洞指的是可以導致IT系統崩潰的入口,如錯誤的代碼等。
Shellfish團隊自稱“下層社會黑客理論小組”,就是沖著美國國防部先進研究項目局的幾百萬美金來的。他們開發了這套開源的生物遺傳資源二進制分析框架,并在剛剛在印度果阿舉辦的Nullcon黑客大會上進行了預演。
該系統將使用范圍引導模糊化和符號執行來發現程序的漏洞,通過選擇性符號執行混合增強模糊化將兩者進行組合集成到系統中。在上月舉辦的網絡和分布式系統安全座談會上,發布了該系統的正式名字為Driller。
該系統現已放在開源社區Github上,供人們使用,并幫助其發現和修復漏洞。該框架非常靈活,集中在靜態和動態特征分析,并由多個較小的開源項目組合而成:
* 可執行文件和庫加載器:CLE
* 多種架構描述庫:archinfo
* 二進制代碼性能提升Pythonl打包器:PyVEX
* 性能增長模擬引擎:SimuVEX
* 區分抽象靜態和符號域之間差異的數據后端:Claripy
* 全程序分析套件:生物遺傳資源庫
* 具備某些生物遺傳資源特點的圖形用戶界面:生物遺傳資源管理器。
京公網安備 11010502049343號