DARPA、ゼロデイ脆弱性の自動発見と自動対処を目指すサイバーグランドチャレンジを開催 10
ストーリー by hylom
自動防御壁 部門より
自動防御壁 部門より
あるAnonymous Coward曰く、
国防高等研究計画局(DARPA)が、自動でゼロデイ脆弱性を発見し、さらにそれへの対処パッチも自動で作成するという技術の開発を競う「DARPA Cyber Grand Challenge(CGC)」を開催する(ロボスタ、Yahoo!FINANCE、TECH INSIDER、Slashdot)。
ゼロデイ脆弱性が悪用されてからベンダーがその脆弱性に気がつくまでに平均して312日かかっているとされる。その間はハッカーは脆弱性を利用できることになる。CGCは数分以内にこの問題を自動で対処できるようにし、長年にわたる問題を解決することが目的だという。
CGCは8月4日に決勝戦が行われ、優勝チームは賞金200万ドルが、2位・3位にはそれぞれ100万ドル、75万ドルが贈られる。エントリーは「アメリカに基盤を置くチーム」のみが可能で、一次予選には104チームが出場していたという。
パターン認識的な方法でやるのだろうか (スコア:1)
ソースコードやバイナリから統計的・機械学習的に脆弱性のありそうなパターンを識別する、というような方法でやるのだろうか?
脆弱性を発見する仕事?にしているような人はそのような何らかのツールを使っているだろうから、それらのツール間の競争のようなことなのだろうか?
侵入されたらそれを検出してそのユニットを切り離す、みたいな防衛システムを作って、全体では「絶対に侵入されない」ようなものをつくることはできないのか。
Re: (スコア:0)
やり方はそれぞれでしょうよ…
Re: (スコア:0)
参加チームの一つが資料やツールを公開してた
BlackhatやSECCONで発表してたらしい
ここでは解析と侵入までで、パッチ当てまではしてない
日本語資料(pdf) [seccon.jp]
https://fish.minidns.net/news/59 [minidns.net]
Re:パターン認識的な方法でやるのだろうか (スコア:1)
ありがとうございます。
単純なパターン認識ではないみたいですね。
ロジック解析して、効率的にFuzzを生成する、
すごいですね。
Fuzzingが脆弱性のすべてではないでしょうけど。
自動発見(しかも民間から募集) (スコア:0)
3位以内に入賞できないかぎり、そのまま踏み台量産したほうが儲かったりしない?
Re: (スコア:0)
一応上の方に入れれば民間企業が買ってくれるのではないかと。
ゼロデイ脆弱性の使用を察知するまでに300日かかるってのはどうやって調べたのだろう…
ゼロデイ (スコア:0)
ソースみたけどゼロデイはどこから出てきたんだろ
未知のSecurity-Holeとゼロデイだとまた話は違ってきますよね
いやいや (スコア:0)
大体何に使われるのか予想できちゃいますし。
シギントォォ! (スコア:0)
TO
自動発見と自動対処 (スコア:0)
ソース書いた奴ごとサーチ&デストロイ!