Autonome Systeme und Künstliche Intelligenz: Maschinen und Hacker kooperieren bei Hacking-Wettbewerben

Inhaltsverzeichnis

Im August hatte die US-Militärforschungseinrichtung DARPA das Finale des ersten ausschließlich von autonomen Computern bestrittenen Hacking-Turniers ausgerichtet: Die Cyber Grand Challenge (CGC). Inzwischen sind die nachhaltigen Auswirkungen deutlich. Auch bei klassischen Hacking-Wettbewerben für Menschen sind autonome Systeme mit dabei.

Mehr Infos

Zum Thema:

• Def-Con-Hackerwettbewerb: Menschen lassen die Maschinen alt aussehen
• Cyber Grand Challenge: Unsichere Computer heilten sich selbst
• Cyber Grand Challenge: IT-Security könnte sich radikal ändern
• So hacken Maschinen
  

Laut Tyler Nighswander, Mitglied des CGC-Siegerteams Forallsecure, müssen die jeweiligen Stärken der menschlichen Hacker und der autonomen Software richtig eingeschätzt werden. Beide Ressourcen passend einzusetzen, ist einer der Schlüssel zum Sieg, wie er im Interview mit heise online sagte: "Ich kann mir nicht vorstellen, dass unser Team ins finstere Mittelalter zurückkehrt und sich nur auf Menschen verlässt."

Das Aufspüren von Bugs sowie deren Beseitigung sei Stärke der autonomen Systeme, während die aktive Ausnutzung von Sicherheitslücken vorerst menschliche Domäne bleibe. Dass Veranstalter autonome Software untersagen, glaubt Nighswander nicht: "Der Punkt ist doch, den aktuellen Stand der Computersicherheit abzubilden", erklärte der Security-Forscher, "Die Wettbewerbe werden wahrscheinlich so gestaltet werden, dass sie jene Fälle herausstreichen, in denen [autonome] Computer wirklich gut sind, und ebenso die Bereiche, in denen [autonome] Computer aufs Gesicht fallen."

CGC ist voller Erfolg für das US-Militär

Die Verantwortlichen der DARPA waren vom Erfolg ihrer Cyber Grand Challenge sehr angetan. Vor allem der Umstand, dass die autonomen Systeme neben den absichtlich eingebauten Bugs auch mehrere zuvor unbekannte Probleme aufdeckten, beeindruckte die Veranstalter.

"Ein System hat einen Bug gefunden, von dem wir nichts wussten, und eine [erfolgreiche] Attacke gegen ein anderes System gestartet", nannte John Launchbury, Chef des Information Innovation Office der DARPA bei einem Vortrag auf der Usenix Enigma Anfang des Monats ein Beispiel, "Ein drittes System hat das beobachtet, den Angriff reverse engineered, den Bug gefunden, einen Patch geschrieben und bei sich selbst installiert. All das binnen 20 Minuten."

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der nächste Schritt für die Militärs ist, die Selbstheilungskräfte der autonomen Systeme für den Einsatz in militärischen Systemen weiterzuentwickeln. Dabei spielt die Defense Innovation Unit Experimental (DIUX) des US Cyber Command eine Schlüsselrolle. Sie soll mithilfe kommerzieller Partner die neuesten IT-Fortschritte in Militärsysteme übertragen.

Feldversuche in Vorbereitung

Doch auch DARPA-Entwicklungen, darunter die Erfahrungen aus der CGC, fließen in die DIUX-Feldversuche ein. "Die wichtigste Lehre, die wir aus der CGC gezogen haben, ist, dass Maschinen durchaus Hacking-Prozesse abspulen können, also Lücken finden, Reverse Engineering, Exploits entwickeln. […] Was [mit Menschen] Monate oder Jahre dauert, hat sich [in Minuten] vor unseren Augen abgespielt", verdeutliche Lieutenant Colonel Timothy Booher im Interview mit heise online, "Hätte es diese Systeme [damals] schon gegeben, wären Dinge wie Heartbleed automatisch entdeckt worden, bevor sie Milliardenschäden angerichtet hätten."

Booher ist Reservist bei der DIUX und hauptberuflich DARPA-Mitarbeiter. Er war auch bei der CGC in offizieller Funktion dabei. "Bei der DARPA bauen wir die Zukunft und treiben die Technik voran. Dann suchen wir die richtigen Partner, um die junge aber wichtige Technik ins Feld zu bringen." Und die Sieger der Cyber Grand Challenge seien dafür ideale Kandidaten. "Sie wissen besser als irgend jemand anders, wie man Cyber Reasoning Systeme baut. Und die Streitkräfte müssen solche Systeme, die in einem sterilen Testumfeld funktionieren, auf echte Geräte übertragen."

Zweite CGC würde wohl anders aussehen

Bei der Cyber Grand Challenge im August 2016 musste die Rechner ohne menschliche Unterstützung bei den gegnerischen Rechnern Sicherheitslücken finden und gleichzeitig sich selbst verteidigen, etwa in dem sie Patches programmierten und damit ihren eigenen Programmcode änderten. Der Erfolg war durchschlagend: Die Systeme fanden nicht nur die meisten absichtlich platzierten Sicherheitslücken, sondern auch unbeabsichtigt vorhandene Bugs.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Unmittelbar im Anschluss an die Cyber Grand Challenge fand der berühmte Capture-the-Flag-Wettbewerb der DefCon statt. Dabei zeigte sich, dass menschliche Hacker noch nicht ausgedient haben. Das vollautonome CGC-Siegersystem konnte den Hybrid-Teams mit Menschen und autonomen Systemen nicht das Wasser reichen.

Ob es eine zweite CGC geben wird ist, noch nicht entschieden. "Wir bei der DARPA sind begeistert über [die CGC]. Es wird viel diskutiert, wie es weitergeht", verriet Booher, "Eine Option, die auf dem Tisch liegt, ist eine mögliche Chance für kombinierte Teams aus Maschinen und Menschen. Das ist eine sehr mächtige Fähigkeit. […] Diese [autonomen] Werkzeuge haben demonstriert, sich auch [an zuvor unbekannte Situationen] anpassen zu können. Das ist etwas, was sie in Zukunft sehr wertvoll [...] machen wird." (ds)