パスワードを忘れた? アカウント作成
12850754 story
人工知能

DARPA、ゼロデイ脆弱性の自動発見と自動対処を目指すサイバーグランドチャレンジを開催 10

ストーリー by hylom
自動防御壁 部門より
あるAnonymous Coward曰く、

国防高等研究計画局(DARPA)が、自動でゼロデイ脆弱性を発見し、さらにそれへの対処パッチも自動で作成するという技術の開発を競う「DARPA Cyber Grand Challenge(CGC)」を開催する(ロボスタYahoo!FINANCETECH INSIDERSlashdot)。

ゼロデイ脆弱性が悪用されてからベンダーがその脆弱性に気がつくまでに平均して312日かかっているとされる。その間はハッカーは脆弱性を利用できることになる。CGCは数分以内にこの問題を自動で対処できるようにし、長年にわたる問題を解決することが目的だという。

CGCは8月4日に決勝戦が行われ、優勝チームは賞金200万ドルが、2位・3位にはそれぞれ100万ドル、75万ドルが贈られる。エントリーは「アメリカに基盤を置くチーム」のみが可能で、一次予選には104チームが出場していたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ソースコードやバイナリから統計的・機械学習的に脆弱性のありそうなパターンを識別する、というような方法でやるのだろうか?

    脆弱性を発見する仕事?にしているような人はそのような何らかのツールを使っているだろうから、それらのツール間の競争のようなことなのだろうか?

    侵入されたらそれを検出してそのユニットを切り離す、みたいな防衛システムを作って、全体では「絶対に侵入されない」ようなものをつくることはできないのか。

    • by Anonymous Coward

      やり方はそれぞれでしょうよ…

    • by Anonymous Coward

      参加チームの一つが資料やツールを公開してた
      BlackhatやSECCONで発表してたらしい
      ここでは解析と侵入までで、パッチ当てまではしてない

      日本語資料(pdf) [seccon.jp]

      https://fish.minidns.net/news/59 [minidns.net]

      従来の Fuzzing は、すさまじい数の入力パターンを試さなければならず、効率的ではない。
      そこでバイナリを解析し、分岐命令を元に木構造を作る。
      木構造を元に、入力値をやみくもに選択しないで、効率的に Fuzzing を行う。
      成功した Fuzzing のインプットとバイナリ解析した結果を元に、シェルコードまで生成できちゃう。
      以上を自動でできる。怖い。

  • by Anonymous Coward on 2016年07月21日 7時03分 (#3050686)

    3位以内に入賞できないかぎり、そのまま踏み台量産したほうが儲かったりしない?

    • by Anonymous Coward

      一応上の方に入れれば民間企業が買ってくれるのではないかと。
      ゼロデイ脆弱性の使用を察知するまでに300日かかるってのはどうやって調べたのだろう…

  • by Anonymous Coward on 2016年07月21日 8時52分 (#3050710)

    ソースみたけどゼロデイはどこから出てきたんだろ
    未知のSecurity-Holeとゼロデイだとまた話は違ってきますよね

  • by Anonymous Coward on 2016年07月21日 10時55分 (#3050784)

    大体何に使われるのか予想できちゃいますし。

  • by Anonymous Coward on 2016年07月21日 11時30分 (#3050801)

    TO

  • by Anonymous Coward on 2016年07月21日 12時18分 (#3050829)

    ソース書いた奴ごとサーチ&デストロイ!

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...