腾讯科技讯 据外媒报道,8月5日,在拉斯维加斯巴黎酒店拥挤的舞厅里,7支由68个程序员、黑客和安全研究员组成的团队创造了一个历史。
这些团队参加了美国国防高级研究计划局(Defense Advanced Research Projects Agency,简称DARPA)的“网络挑战赛”(Cyber Grand Challenge)。他们证明了他们开发的软件可以自动搜寻、识别和修补任何程序中的漏洞。黑客们正是利用这些漏洞来创造病毒,控制你的电脑或侵入ATM取款机的。
DARPA会经常举办各种挑战赛,但是“网络挑战赛”还是第一次。这样的比赛是在智能软件之间进行的,没有人为干预。在所有参赛团队中,有一支名为ForAllSecure的团队最终胜出,获得了200万美元的一等奖奖金。
“整个比赛过程非常激烈。”ForAllSecure团队的领导人、卡耐基梅隆大学的教授大卫•布伦利(David Brumley)在比赛结束后说,“现在,我们真的感到非常高兴。我们简直激动不已。我们刚刚赢得了200万美元大奖。”
管窥未来
在通常情况下,当你想到DARPA的时候,你可能会联想到无人驾驶汽车、机器人和电磁轨道炮。但是,这些程序员在拉斯维加斯取得的成就足以媲美DARPA做过的任何项目。
你知道,黑客要侵入电脑系统,他们就必须找出系统基础软件中存在的漏洞。对于黑客来说,寻找漏洞可能要比你想象得更容易。这是因为我们每天使用的软件——无论是我们的电脑操作系统还是我们最喜爱的网络浏览器——都是由普通人编写的数百万行代码组成的。由于人类并不完美,他们编写的代码自然也不是无懈可击的。
黑客会花费专门的时间来寻找这些漏洞,并利用这些漏洞来控制电脑系统,窃取电影和财务等信息。
在通常情况下,安全研究人员往往需要花费一年的时间才能找出这些漏洞,并予以修复,然后发送补丁程序,让我们安装,以防止黑客利用这些漏洞来攻击我们的电脑。而在这些漏洞被修复之前,这些黑客往往能够利用它们为所欲为。
展开全文
现在,你可能会感觉到,电脑黑客相对于保护你电脑安全的安全专家来说占据了压倒性的优势。这就像两支军队在对抗,其中一支军队装备了大型坦克,另一支军队则只带着木棍。
正因如此,“网络挑战赛”才应运而生了。在DARPA以前举办的各种挑战赛中,参赛者都是竞相进行各种野心勃勃的、近乎科幻的实验,例如打造无人驾驶汽车和智能机器人。
但是,“网络挑战赛”的影响力要比它们大得多。它可以终结病毒和黑客攻击行为,从而保护你的联网咖啡机和智能恒温箱以及DARPA以前的比赛中出现的无人驾驶汽车和机器人等。
抢夺旗帜
为了测试参赛者的自动运行程序,DARPA的挑战赛模仿了一个常见的黑客游戏:抢夺旗帜。在黑客版抢夺旗帜游戏中,黑客和程序员团队都会被分配相同的软件,他们必须在这些软件中找到漏洞,并利用这些漏洞来进行黑客攻击,从而赢得点数。
当一个团队发现一个漏洞的时候,他们可以选择修复漏洞,防止其他团队利用该漏洞进行攻击,也可以选择利用这个漏洞来攻击其他的团队。最后得分最高的团队将赢得比赛。
在网络挑战赛版本的抢夺旗帜比赛中,7支团队必须开发出各自的智能软件,并让这些软件自行查找DARPA提供的程序中的漏洞,然后决定是修补漏洞防止攻击,还是利用这个漏洞发起进攻。
这可不是一项简单的任务。参与比赛的人都是全世界一流的高手。这些电脑程序哪怕只是接近人类黑客的水平也是一项了不起的成就。
找到了最大的漏洞
令人印象深刻的是,参与网络挑战赛的这些团队此前从来没有见过DARPA在比赛中提供给他们的程序。因此,这些团队不得不事先做好周全的准备,通过精心设计软件来应对各种可能出现的突发情况。
这7支团队各自开发的程序不仅能够自行查找DARPA软件中的漏洞,而且能够抵御竞争对手的攻击,甚至予以反击。为了增加挑战赛的难度,DARPA甚至在它提供的软件中加入了历史上最具有破坏力的漏洞,包括在2014年让全世界人为之色变的“心脏流血”漏洞。这个漏洞让黑客从人们都认为非常安全的、受保护的网站中窃取到了大量用户名和密码信息。
令人惊讶的是,网络挑战赛团队的程序甚至能够在瞬间找到并修复“心脏流血”漏洞。更加令人印象深刻的是,其中一支团队的程序甚至能够识别出DARPA所提供的软件中的漏洞。对,就连DARPA用来检测团队程序的软件本身也存在漏洞,而其中一支团队发现了这个漏洞。
这就相当于对大学委员会说在SAT考试中它给出的那道最难的数学题的答案是错误的,而你找到了正确的答案。是的,这确实令人惊叹。
自然而然地,支持这些团队程序的电脑也必须非常强大。事实上,据DARPA称,这些团队的电脑需要的能量足以供应一个城市街区。这样超强的计算能力自然会产生巨大的热量。因此,DARPA不得不动用卡车拖来很多工业制冷装置来降温,因为这个酒店已无法满足这样的降温要求。
那么,网络挑战赛的参赛者们下一步准备做什么呢?布伦利教授称,他们将会回去继续开发更加智能的软件,从而让全世界网络变得更加安全。
“我们将会继续寻找更棒的查找漏洞的方法,让这种智能软件能够检测更多程序的漏洞。” 布伦利教授说,“我们认为,全世界都需要这种技术。”(编译/乐学)