Def-Con-Hackerwettbewerb: Menschen lassen die Maschinen alt aussehen
Der Capture the Flag-Wettbewerb der Konferenz Def Con gilt als inoffizielle Hacker-Weltmeisterschaft. Erstmals nahmen auch Maschinen am Wettbewerb teil. Aber wir können durchatmen: Noch haben die Maschinen keine Chance. Skynet noch mal abgewendet.
Die begehrte Black Badge der Def Con
(Bild: Def Con)
- Uli Ries
Seit vielen Jahren ist Capture the Flag (CTF) während der Hackerkonferenz Def Con der jährliche Höhepunkt der 15 Teams, die sich in hunderten regionalen Wettbewerben für das inoffizielle Finale qualifiziert haben. Als erneuter Sieger ging die Mannschaft The Plaid Parliament of Pwning (PPP) der Carnegie Mellon University (CMU) aus dem Wettstreit hervor. Es gewann drei der vier Wettbewerbe der letzten Jahre. Nach Auskunft von David Brumley, Kapitän der CGC-Mannschaft von CMU, investierten die Mannschaftsmitglieder zusammen genommen tausende von Stunden, um sich vorzubereiten. Seiner Meinung nach sind CTF-Wettbewerbe unabdingbar, um Studenten und berufstätigen Softwareexperten die heute nötigen Fähigkeiten angedeihen zu lassen.
PPP steht auch hinter dem Sieger des Maschinen-gegen-Maschinen-Hackings, der sich im Rahmen der Cyber Grand Challenge (CGC) gegen sechs andere Maschinen durchsetzte. Die Mayhem getaufte Software und ihre zugrundeliegende Supercomputer-Hardware gingen dann auch ins Rennen mit den menschlichen Hackerteams – und wurde letzter. Ein bisschen besser schnitt ein Hybrid-Gespann aus Mensch und Maschine ab. Team Shellphish von der University of California Santa Barbara ließ sich beim CTF von seiner Software-Kreation namens Mechanical Phish unterstützen und kam zwei Ränge vor Mayhem ins Ziel.
Menschen sind unfair und gewinnen deshalb
Verantwortlich für die Niederlagen war nicht nur, dass Menschen erheblich raffinierter – und teilweise unfair – ans Werk gehen und sich Fallen stellen während des Wettbewerbs. Wie die Kapitäne der beiden Teams im Gespräch mit heise Security sagten, hatten sie auch einen Start-Nachteil: Die Regeln und damit die APIs der beiden Wettbewerbe variierten. Die Programmierer mussten also direkt nach dem Ende der CGC am späten Abend anfangen, ihre Software an die CTF-API anzupassen.
Der von vielen Fachleuten wie dem CGC-Programmverantwortlichen Mike Walker erwartete Vorteil – "Spannend sind die ersten fünf Minuten im Wettstreit mit dem Mensch" – löst sich damit in Luft auf. David Brumley, Kapitän der CGC-Mannschaft von CMU sagte: "In den ersten fünf Minuten ist genauso wenig passiert wie in den sechs Stunden danach". So lange benötigten die Programmierer, um Mayhem mit der API vertraut zu machen. Shellphish optimierte die API-Zugriffe sogar bis wenige Stunden vor Ende des Wettstreits.
In Zukunft zusammen mit den Maschinen
Alle befragten Fachleute sind sich aber einig, dass dem Gespann aus Mensch und Maschine die Zukunft beim Finden und Schließen von Schwachstellen gehört. Der Mensch steuert Erfahrung und Kreativität bei, die Maschine die Rechenleistung. Denn: Hat die Software erst einmal ein Bug-Muster erkannt, findet sie ohne Verzögerung alle Vorkommnisse dieser Art von Lücke im Code. (fab)
