Kampf der Maschinen
Computer hacken Computer – seit Sommer 2016 ist das Wirklichkeit. Droht uns ein Sicherheitsalbtraum, weil Software Bugs im Sekundentakt in anderer Software aufspürt? Ein Realitätscheck.
- Uli Ries
Es war zwar nur ein Forschungswettbewerb – aber einer mit Potenzial: Computer hacken einander, Software untersucht Software auf Fehler, Software testet Updates, zieht sie im Zweifel zurück und installiert sie erst dann, wenn sie fehlerfrei funktioniert. Und alles ohne menschliche Hilfe. Dies passierte im Rahmen der Darpa Cyber Grand Challenge (CGC) im August 2016 in Las Vegas. War das der Beginn einer neuen Ära in der IT-Sicherheit? Sind Menschen bald nur noch Zuschauer, wenn hochgerüstete Maschinen sich untereinander bekriegen?
55 Millionen US-Dollar ließ sich die Darpa (Defense Advanced Research Projects Agency), der zivile Forschungsarm des US-Militärs, den Wettbewerb kosten. Sie treibt die Sorge vor einer ständig stärker vernetzten Welt voll von fehlerhafter Software um. Sicherheit, so die Annahme, ließe sich ohne Hilfe von künstlicher Intelligenz nicht mehr herstellen. Bislang passieren Reaktionen auf Digitalattacken ausschließlich manuell. Daher haben Angreifer laut dem Organisator des Wettbewerbs, Mike Walker, viel Zeit, um die von ihnen bereits missbrauchte Lücke zu nutzen. Bis zu einem Jahr vergeht, bis sie entdeckt wird und ein Patch, also ein Programmcode zum Reparieren, bereitsteht. Diese lange Zeitspanne sollen autonom arbeitende Systeme auf Minuten oder gar Sekunden verkürzen.
Die von den CGC-Teams ins Rennen geschickten Systeme gingen dafür genauso zu Werke wie menschliche Bug-Jäger – nur eben viel schneller: Zuerst überfluten die Maschinen – Cyber Reasoning System (CRS) genannt – die für den Wettbewerb mit Bugs präparierten Programme mit unsinnigen Abfragen. Das Ziel ist, sie zum Absturz zu bringen und so einen Einstieg für einen Angriff zu erzeugen.
Anschließend versuchten die CRS per Maschinenlernen, die gefundenen Abstürze auf ihre Tauglichkeit für einen Angriff hin zu prüfen. Um zu punkten, mussten die automatischen Hacker den menschlichen und maschinellen Schiedsrichtern des Wettstreits schlüssig beweisen, dass ein bestimmter Codeteil anfällig ist für einen Angriff. Sie mussten also entweder Abstürze herbeiführen, die reproduzierbar waren. Oder einen an sich geschützten – aber dennoch gehackten – Speicherbereich des jeweiligen Programms auslesen und als Beweis an die Schiedsrichter schicken.
Im nächsten Schritt sollten die Maschinen zeigen, dass sie die Lücken selbstständig stopfen können. Diese Aufgabe stuften Beteiligte wie Professor Giovanni Vigna, Leiter des Finalistenteams Shellphish, als erheblich schwerer ein als das Aufspüren der Bugs. Schon allein deshalb, weil der Patch die Anwendung nicht verlangsamen durfte. Andernfalls gab es Punktabzug im Wettbewerb.
Die CRS mussten also ihre eigene Arbeit bewerten, um eventuelle negative Performance-Auswirkungen festzustellen und per Machine Learning den Patch nach und nach zu verbessern. Ihr Erfolg war beachtlich: Die Maschinen fanden innerhalb weniger Stunden 650 Belege für tatsächlich ausnutzbare Schwachstellen und schrieben 421 Patches – in Programmcodes, die weder sie noch ihre menschlichen Programmierer je zuvor gesehen haben. Menschliche Analysten würden ein solches Ergebnis in so kurzer Zeit niemals zustande bringen.
Dennoch bricht damit noch nicht die Zukunft der KI-Krieger und Robo-Hacker an. Denn die Darpa hatte es den Maschinen recht einfach gemacht. Sie schrieb für den Wettbewerb ein spezielles Betriebssystem namens DECREE (Darpa Experimental Cybersecurity Research Evaluation Environment). Reale Betriebssysteme wären eine zu große Hürde gewesen: Dort liegt die Software beispielsweise nicht als lesbarer Quellcode vor, sondern in Form von kompilierten Binärdateien. Das Problem hierbei: Binärcode hat ein niedriges Abstraktionsniveau und wenig Strukturen, was die Codeanalyse erschwert. Es ist daher sehr schwierig, zu erschließen, wie die zu hackende Software funktioniert.
Dennoch ist der Darpa-Wettbewerb mehr als ein realitätsfernes Experiment. Die Cyber Grand Challenge gewann das Team ForAllSecure mit einem CRS namens Mayhem. Und was es in der wirklichen Softwarewelt zu leisten vermag, verriet Teamleiter David Brumley: Man habe Mayhem im Vorfeld zu Testzwecken 35000 Linux-Binärdateien untersuchen lassen. Binnen 24 Stunden fand es mehrere Tausend Bugs, die es auf ihren Schweregrad hin zu untersuchen gilt – ein für Menschen unerreichbarer Wert.
Was Brumley mit den Bugs vorhabe? "Sie sind meine Altersversorgung", sagte er lachend. Wenngleich das nur halb als Scherz zu verstehen ist: ForAllSecure veröffentlicht den Quelltext seines CRS nicht und plant, die Software kommerziell einzusetzen. Dies dürfte das Bug-Hunting ziemlich schnell auf den Kopf stellen. Fachleute wie Raimund Genes, Technikchef des Sicherheitsanbieters Trend Micro, erwarten dadurch eine bessere Codequalität auf Seiten der Softwarehersteller. Gleichzeitig sänken die Kosten der Bug-Suche.
So dürfte es auf eine Arbeitsteilung hinauslaufen: Maschinen finden Lücken, Menschen stopfen sie. Gleiches dürfte in der Welt der Cyberkriminellen geschehen: Sie suchen Schwachstellen maschinell, um dann den passenden Cyberangriff zu programmieren. "Es gibt im Untergrund viele exzellente Programmierer, die viel Fachwissen rund um Kryptografie und Angriffstechniken mitbringen.
Diese Programmierer sind erheblich kreativer als heutige Maschinen", meint Genes. Den Beweis liefert wiederum Mayhem: Das CRS belegte in einem Hacker-wettbewerb unter gleichen Bedingungen wie die Cyber Grand Challenge gegen 13 menschliche Teams den letzten Rang. Ein hybrides Gespann aus Menschen und Maschine vom Team Shellphish schnitt deutlich besser ab. Möglicher Grund: Die Maschine muss den ihr auferlegten Regeln folgen. Der Mensch bricht sie und spielt unfair. Wenn die Maschine auch das beherrscht, müssen sich die IT-Sicherheitsleute warm anziehen. (bsc)
