Hacking-Turnier in Las Vegas Kampf der Maschinen

Bei der Cyber Grand Challenge sind die menschlichen Entwickler nur Zaungäste: Computersysteme agieren autonom und versuchen, sich gegenseitig zu hacken - alles im Namen der Sicherheit.

Uli Ries

Von , Las Vegas


Die Stars der Cyber Grand Challenge (CGC) in Las Vegas waren die Server: sieben mächtige, flüssigkeitsgekühlte Serverschränke mit mehr als 1500 Prozessorkernen pro Schrank, bunt beleuchtet, beklebt mit Logos und Namen der menschlichen Teams, die für die Software in ihrem Inneren verantwortlich sind.

Bei dem Turnier traten erstmalig weltweit ausschließlich autonome Server gegeneinander an, um sich gegenseitig zu hacken. Es winkten Preisgelder in Millionenhöhe. Ziel der Übung: mehr Sicherheit in einer vernetzten Welt, die voller fehlerhafter Software ist.

Auf der CGC galt es daher, die auf den anderen Systemen installierte Software auf Schwachstellen zu untersuchen, diese zu identifizieren und verborgene Lücken in der eigenen Software zu finden, zu stopfen - und die übrigen Maschinen auf Ebene des Netzwerks vom eigenen System fernzuhalten.

Dabei zeigte sich: Die autonom hackenden Programme haben schon erstaunliche Fähigkeiten. An menschliche Hacker reichen sie aber nicht heran - noch nicht.

Große Anspannung der Entwickler im Finale

Schauplatz des Maschinenwettstreits war ein Saal von der Größe eines Fußballfelds in einem Hotel in Las Vegas. Die Darpa, der zivile Forschungsarm des US-Militärs, hat den Vorabend der Hackerkonferenz Defcon für das Finale ausgewählt und die Serverschränke ins Konferenzhotel karren lassen. Die Defcon ist eine der größten Veranstaltungen für Hacker weltweit, mit mehreren Tausend Besuchern jedes Jahr.

Auch wenn während des Maschinen-Turniers die Server die Arbeit machten: Den Mannschaften war während des über sechsstündigen Finales die Anspannung deutlich anzumerken. Zu groß war laut Giovanni Vigna, Leiter des drittplatzierten Teams Shellphish, das Risiko, dass sich die Software plötzlich aufhängt und der Wettbewerb damit vorbei ist. Doch alle sieben Teams hielten bis zum Schluss durch.

In 96 Runden, die im Schnitt 207 Sekunden dauerten, mussten die sieben Supercomputer verschiedene Aufgabenstellungen bewältigen. Dabei schrieben sie ohne menschliches Zutun insgesamt 421 neue, sicherere Versionen der ursprünglichen Software. 605-mal meldeten die Server einen Hinweis für eine entdecke Lücke an. Wie viele sich davon als valide erweisen, steht noch nicht fest.

Darpa will Sicherheitslücken schneller stopfen

Gewonnen hat letztlich das Team ForAllSecure von der Carnegie Mellon University. Es nimmt für seine "Mayhem" getaufte Software zwei Millionen Dollar Preisgeld mit nach Hause. Die Zweitplatzierten vom Team TechX immerhin noch eine Million. Das Preisgeld wird den Teamleitern zufolge in weitere Forschung auf dem Gebiet der autonomen Softwareanalyse gesteckt.

Teammitglieder nach Ende des Turniers
Uli Ries

Teammitglieder nach Ende des Turniers

Die Hilfe der Maschinen können die Menschen gut gebrauchen: Menschliche Bug-Jäger sind vergleichsweise langsam, das Programmieren und Testen der Lösung des Sicherheitsproblems dauert ebenfalls noch mal. Kriminelle nutzen das häufig aus, bevor betroffene Hersteller ein Update an die Kunden ausliefern können.

Die Darpa will die Zeitspanne, bis eine Sicherheitslücke gestopft ist, drastisch verkleinern. Daher startete sie vor gut drei Jahren die CGC. Es ist nicht die einzige Veranstaltung ihrer Art: Ähnliche Challenges gab es in der Vergangenheit auch für den Bereich des autonomen Fahrens. Sie gelten als Keimzelle der aktuell heiß diskutierten Autopiloten.

"Neu definiert, was technisch machbar ist"

Alle Teams der CGC hatten zu Beginn des Turniers die gleiche Hardware und das gleiche Betriebssystem. Wettbewerbsvorteile konnte jedem Team nur das jeweils selbst programmierte Sicherheitssystem verschaffen. Die Turnierumgebung war dabei kein gängiges Betriebssystem, wie es auch normale Nutzer zu Hause haben.

"Wir wollten nicht, dass die Bots binnen weniger Stunden 600 Bugs finden, die dem betroffenen Hersteller dann viel Kopfschmerzen bereiten", sagte CGC-Leiter Mike Walker. "Innerhalb weniger Stunden haben wir neu definiert, was technisch machbar ist", sagte er nach Ende des Maschinenwettstreits.

Noch nicht so gut wie ein Mensch

Die Macher der CGC versteckten auch Abwandlungen von in der Bug-Jäger-Szene berühmt gewordenen Lücken in der Wettbewerbssoftware, darunter Heartbleed, sowie die Lücke, die auch der Virus Stuxnet ausgenutzt haben soll.

Walker bezweifelt, dass die Maschinen-Hacker bald an Menschen heranreichen: "Der derzeitige Stand lässt sich sehr gut mit den ersten Schachcomputern vergleichen, die gegen Großmeister aus Fleisch und Blut keine Chance hatten", sagte der Informatiker. Entsprechend niedrig sei auch das Risiko, dass sich in Kürze Kriminelle der Hack-Software bedienen und massenhaft PC von Opfern angreifen. Und selbst wenn dies möglich wäre: Die Verteidiger wären ja ebenso gut gerüstet.

Nichtsdestotrotz hat das Siegerteam hinter "Mayhem" schon erklärt, seinen Supercomputer gegen die wahrscheinlich ausgefuchstesten Schwachstellen-Experten der Welt antreten zu lassen: Während der Defcon messen sich traditionell die besten Teams in einem Wettbewerb, auch "Mayhem" ist dieses Mal dabei.



insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
calinda.b 05.08.2016
1. Grossmeister?
"die gegen Großmeister aus Fleisch und Blut keine Chance hatten" Schon klar, aber die meisten Unternehmen haben keinen Grossmeister, nicht mal 'nen Kleinmeister.
kinngrimm 06.08.2016
2. mal doofe Frage
"Wie viele sich davon als valide erweisen, steht noch nicht fest." Wenn das noch nicht feststeht "Gewonnen hat letztlich das Team ForAllSecure von der Carnegie Mellon University" Wie kann dann das möglich sein?
Trittschall 06.08.2016
3. Wir wissen ja alle wohin das führen wird
In ein paar Jahren wird eine kleine unbekannte Firma namens Cyberdyne Systems an den Start gehen, deren KI kurz danach ein Bewußtsein entwickeln und dann den dritten Weltkrieg auslösen wird. :)
Arckenheidt 06.08.2016
4. Nicht auszuschliessen
Zitat von TrittschallIn ein paar Jahren wird eine kleine unbekannte Firma namens Cyberdyne Systems an den Start gehen, deren KI kurz danach ein Bewußtsein entwickeln und dann den dritten Weltkrieg auslösen wird. :)
Da wir nicht die geringste Vorstellung davon haben, was ein Bewusstsein überhaupt ist und insofern auch nicht wissen können, wie so etwas "gebaut" werden kann, lässt sich das noch nicht einmal aussschliessen ... So wenig wie sich ausschliessen lässt, dass ein Affe mit einer Schreibmaschine Goethes Faust in die Tasten haut.
taglöhner 06.08.2016
5. Zielorientiertheit
Zitat von TrittschallIn ein paar Jahren wird eine kleine unbekannte Firma namens Cyberdyne Systems an den Start gehen, deren KI kurz danach ein Bewußtsein entwickeln und dann den dritten Weltkrieg auslösen wird. :)
Was hat eine KI mit Bewusstsein von einem Weltkrieg?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.