據外媒報道,8月5日,在拉斯維加斯巴黎酒店擁擠的舞廳里,7支由68個程序員、黑客和安全研究員組成的團隊創造了一個歷史。
這些團隊參加了美國國防高級研究計劃局(Defense Advanced Research Projects Agency,簡稱DARPA)的“網絡挑戰賽”(Cyber Grand Challenge)。他們證明了他們開發的軟件可以自動搜尋、識別和修補任何程序中的漏洞。黑客們正是利用這些漏洞來創造病毒,控制你的電腦或侵入ATM取款機的。
DARPA會經常舉辦各種挑戰賽,但是“網絡挑戰賽”還是第一次。這樣的比賽是在智能軟件之間進行的,沒有人為干預。在所有參賽團隊中,有一支名為ForAllSecure的團隊最終勝出,獲得了200萬美元的一等獎獎金。
“整個比賽過程非常激烈。”ForAllSecure團隊的領導人、卡耐基梅隆大學的教授大衛 布倫利(David Brumley)在比賽結束后說,“現在,我們真的感到非常高興。我們簡直激動不已。我們剛剛贏得了200萬美元大獎。”
管窺未來
在通常情況下,當你想到DARPA的時候,你可能會聯想到無人駕駛汽車、機器人和電磁軌道炮。但是,這些程序員在拉斯維加斯取得的成就足以媲美DARPA做過的任何項目。
你知道,黑客要侵入電腦系統,他們就必須找出系統基礎軟件中存在的漏洞。對于黑客來說,尋找漏洞可能要比你想象得更容易。這是因為我們每天使用的軟件——無論是我們的電腦操作系統還是我們最喜愛的網絡瀏覽器——都是由普通人編寫的數百萬行代碼組成的。由于人類并不完美,他們編寫的代碼自然也不是無懈可擊的。
黑客會花費專門的時間來尋找這些漏洞,并利用這些漏洞來控制電腦系統,竊取電影和財務等信息。
在通常情況下,安全研究人員往往需要花費一年的時間才能找出這些漏洞,并予以修復,然后發送補丁程序,讓我們下載安裝,以防止黑客利用這些漏洞來攻擊我們的電腦。而在這些漏洞被修復之前,這些黑客往往能夠利用它們為所欲為。
現在,你可能會感覺到,電腦黑客相對于保護你電腦安全的安全專家來說占據了壓倒性的優勢。這就像兩支軍隊在對抗,其中一支軍隊裝備了大型坦克,另一支軍隊則只帶著木棍。
正因如此,“網絡挑戰賽”才應運而生了。在DARPA以前舉辦的各種挑戰賽中,參賽者都是競相進行各種野心勃勃的、近乎科幻的實驗,例如打造無人駕駛汽車和智能機器人。
但是,“網絡挑戰賽”的影響力要比它們大得多。它可以終結病毒和黑客攻擊行為,從而保護你的聯網咖啡機和智能恒溫箱以及DARPA以前的比賽中出現的無人駕駛汽車和機器人等。
搶奪旗幟
為了測試參賽者的自動運行程序,DARPA的挑戰賽模仿了一個常見的黑客游戲:搶奪旗幟。在黑客版搶奪旗幟游戲中,黑客和程序員團隊都會被分配相同的軟件,他們必須在這些軟件中找到漏洞,并利用這些漏洞來進行黑客攻擊,從而贏得點數。
當一個團隊發現一個漏洞的時候,他們可以選擇修復漏洞,防止其他團隊利用該漏洞進行攻擊,也可以選擇利用這個漏洞來攻擊其他的團隊。最后得分最高的團隊將贏得比賽。
在網絡挑戰賽版本的搶奪旗幟比賽中,7支團隊必須開發出各自的智能軟件,并讓這些軟件自行查找DARPA提供的程序中的漏洞,然后決定是修補漏洞防止攻擊,還是利用這個漏洞發起進攻。
這可不是一項簡單的任務。參與比賽的人都是全世界一流的高手。這些電腦程序哪怕只是接近人類黑客的水平也是一項了不起的成就。
找到了最大的漏洞
令人印象深刻的是,參與網絡挑戰賽的這些團隊此前從來沒有見過DARPA在比賽中提供給他們的程序。因此,這些團隊不得不事先做好周全的準備,通過精心設計軟件來應對各種可能出現的突發情況。
這7支團隊各自開發的程序不僅能夠自行查找DARPA軟件中的漏洞,而且能夠抵御競爭對手的攻擊,甚至予以反擊。為了增加挑戰賽的難度,DARPA甚至在它提供的軟件中加入了歷史上最具有破壞力的漏洞,包括在2014年讓全世界人為之色變的“心臟流血”漏洞。這個漏洞讓黑客從人們都認為非常安全的、受保護的網站中竊取到了大量用戶名和密碼信息。
令人驚訝的是,網絡挑戰賽團隊的程序甚至能夠在瞬間找到并修復“心臟流血”漏洞。更加令人印象深刻的是,其中一支團隊的程序甚至能夠識別出DARPA所提供的軟件中的漏洞。對,就連DARPA用來檢測團隊程序的軟件本身也存在漏洞,而其中一支團隊發現了這個漏洞。
這就相當于對大學委員會說在SAT考試中它給出的那道最難的數學題的答案是錯誤的,而你找到了正確的答案。是的,這確實令人驚嘆。
自然而然地,支持這些團隊程序的電腦也必須非常強大。事實上,據DARPA稱,這些團隊的電腦需要的能量足以供應一個城市街區。這樣超強的計算能力自然會產生巨大的熱量。因此,DARPA不得不動用卡車拖來很多工業制冷裝置來降溫,因為這個酒店已無法滿足這樣的降溫要求。
那么,網絡挑戰賽的參賽者們下一步準備做什么呢?布倫利教授稱,他們將會回去繼續開發更加智能的軟件,從而讓全世界網絡變得更加安全。
“我們將會繼續尋找更棒的查找漏洞的方法,讓這種智能軟件能夠檢測更多程序的漏洞。” 布倫利教授說,“我們認為,全世界都需要這種技術。”
京公網安備 11010502049343號