La conférence DEF CON va abriter le premier concours de hacking entre systèmes automatisés
Avec deux millions de dollars pour le vainqueur
Le 2016-07-26 12:01:26, par Stéphane le calme, Chroniqueur Actualités
Comme chaque année depuis 1993, l’édition 2016 de la conférence DEF CON va accueillir un public très varié, allant des professionnels de la sécurité des systèmes d’information aux employés du gouvernement fédéral intéressés par tout ce qui peut être hacké, mais également des journalistes ainsi que des avocats.
Au programme, différents concours permettant de mettre à nu les failles dans des systèmes, qu’il s’agisse d’objets connectés ou de systèmes.
En 2014 ont été définies les bases de CGC (Cyber Grand Challenge), un concours de types CTF (Capture The Flag) organisé par la DARPA (Defense Advanced Research Projects Agency), qui mène les programmes de recherche de la défense américaine.
Contrairement à un CTF classique où des hackers doivent réussir à s’introduire dans les systèmes « ennemis » et/ou protéger des systèmes ou des dispositifs, le CGC va pour sa part opposer des intelligences artificielles. Sept équipes devront s’affronter en se servant de systèmes automatisés conçus pour pénétrer d’autres systèmes, mais également pour détecter automatiquement et corriger leurs propres vulnérabilités.
La DARPA a expliqué que « l'approche actuelle de la cybersécurité dépend des experts en sécurité informatique : les experts identifient de nouvelles failles et menaces et y remédient manuellement. Ce processus peut prendre plus d'un an, de la première détection jusqu’au déploiement d'une solution, temps qui peut éventuellement être suffisant pour pénétrer sans permission les systèmes critiques. Ce cycle de réaction lente a créé un avantage offensif permanent.
Le Cyber Grand Challenge (CGC) vise à automatiser ce processus de défense cybernétique, établissant la base de la première génération de machines qui peuvent découvrir, éprouver et corriger les failles logicielles en temps réel, sans aucune aide. En cas de succès, la vitesse d'autonomie pourrait un jour émousser les avantages structurels dont disposent les offensives ».
Les qualifications pour ce concours ont commencé en 2014. 104 équipes se sont inscrites pour participer à ce concours. À l’issue de trois tours de qualification, il n’en reste plus que sept, notamment : CodeJitsu, CSDS, Deep Red, Disekt, For All Secure, Shellphish et TechX.
CodeJitsu est une équipe affiliée à l’université de Berkeley (Californie, États-Unis). CSDS est une équipe constituée par un professeur et un chercheur disposant d’un doctorat de l’université de l’Idaho. Deep Red rassemble des ingénieurs issus de l’entreprise Raytheon dont le siège social est à Arlington (Texas, États-Unis ). Disekt est une équipe de la ville d’Athens (Georgie, États-Unis) composée de quatre membres. For All Secure est une startup dont le siège social est à Pittsburgh (Pennsylvanie, aux États-Unis) fondée par une équipe de chercheurs en sécurité de l’université Carnergie Mellon. Shellphish, de Santa Barbara (Californie, États-Unis), rassemble un groupe de diplômés de l’université de la même ville. Et TechX, de Charlottesville (Virginie, États-Unis) regroupe des experts en analyse de GrammaTech Inc, un développeur de logiciels utilisés dans les assurances et en solutions de cybersécurité avancées.
Ces sept équipes vont s’affronter le 4 août 2016 à l’hôtel Paris de Las Vegas. Contrairement à un CTF classique où les équipes ont 48 heures pour pénétrer et/ou sécuriser dix logiciels afin de remporter la partie, le CGC a réduit ce temps de moitié.
Pendant la phase éliminatoire, les équipes ont fait face à 131 différentes versions de logiciels et durant la phase finale il pourrait y en avoir encore plus. Le vainqueur de cette épreuve va remporter 2 millions de dollars, le second en remportera la moitié et le troisième remportera 750 000 dollars. La DARPA a donc préparé au total près de 4 millions de dollars de récompense.
Les équipes ont eu 13 mois pour se préparer pour la finale et améliorer leurs logiciels. La DARPA exige que chaque logiciel dont disposent les équipes puisse être en mesure de se servir de techniques de mitigation, pour éviter que les adversaires ne puissent exploiter des vecteurs d’attaques connus sur leurs propres systèmes.
Source : site dédié (Cyber Grand Challenge)
Voir aussi :
Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser
Une faille dans le protocole RDP permet à un hacker de voler des centaines de milliers d'enregistrements de données de trois organismes de santé US
Un bogue de la cryptomonnaie Ether permet à un hackeur de s'emparer de 50 millions $ en exécutant une fonction récursive du système de transaction
Au programme, différents concours permettant de mettre à nu les failles dans des systèmes, qu’il s’agisse d’objets connectés ou de systèmes.
En 2014 ont été définies les bases de CGC (Cyber Grand Challenge), un concours de types CTF (Capture The Flag) organisé par la DARPA (Defense Advanced Research Projects Agency), qui mène les programmes de recherche de la défense américaine.
Contrairement à un CTF classique où des hackers doivent réussir à s’introduire dans les systèmes « ennemis » et/ou protéger des systèmes ou des dispositifs, le CGC va pour sa part opposer des intelligences artificielles. Sept équipes devront s’affronter en se servant de systèmes automatisés conçus pour pénétrer d’autres systèmes, mais également pour détecter automatiquement et corriger leurs propres vulnérabilités.
La DARPA a expliqué que « l'approche actuelle de la cybersécurité dépend des experts en sécurité informatique : les experts identifient de nouvelles failles et menaces et y remédient manuellement. Ce processus peut prendre plus d'un an, de la première détection jusqu’au déploiement d'une solution, temps qui peut éventuellement être suffisant pour pénétrer sans permission les systèmes critiques. Ce cycle de réaction lente a créé un avantage offensif permanent.
Le Cyber Grand Challenge (CGC) vise à automatiser ce processus de défense cybernétique, établissant la base de la première génération de machines qui peuvent découvrir, éprouver et corriger les failles logicielles en temps réel, sans aucune aide. En cas de succès, la vitesse d'autonomie pourrait un jour émousser les avantages structurels dont disposent les offensives ».
Les qualifications pour ce concours ont commencé en 2014. 104 équipes se sont inscrites pour participer à ce concours. À l’issue de trois tours de qualification, il n’en reste plus que sept, notamment : CodeJitsu, CSDS, Deep Red, Disekt, For All Secure, Shellphish et TechX.
CodeJitsu est une équipe affiliée à l’université de Berkeley (Californie, États-Unis). CSDS est une équipe constituée par un professeur et un chercheur disposant d’un doctorat de l’université de l’Idaho. Deep Red rassemble des ingénieurs issus de l’entreprise Raytheon dont le siège social est à Arlington (Texas, États-Unis ). Disekt est une équipe de la ville d’Athens (Georgie, États-Unis) composée de quatre membres. For All Secure est une startup dont le siège social est à Pittsburgh (Pennsylvanie, aux États-Unis) fondée par une équipe de chercheurs en sécurité de l’université Carnergie Mellon. Shellphish, de Santa Barbara (Californie, États-Unis), rassemble un groupe de diplômés de l’université de la même ville. Et TechX, de Charlottesville (Virginie, États-Unis) regroupe des experts en analyse de GrammaTech Inc, un développeur de logiciels utilisés dans les assurances et en solutions de cybersécurité avancées.
Ces sept équipes vont s’affronter le 4 août 2016 à l’hôtel Paris de Las Vegas. Contrairement à un CTF classique où les équipes ont 48 heures pour pénétrer et/ou sécuriser dix logiciels afin de remporter la partie, le CGC a réduit ce temps de moitié.
Pendant la phase éliminatoire, les équipes ont fait face à 131 différentes versions de logiciels et durant la phase finale il pourrait y en avoir encore plus. Le vainqueur de cette épreuve va remporter 2 millions de dollars, le second en remportera la moitié et le troisième remportera 750 000 dollars. La DARPA a donc préparé au total près de 4 millions de dollars de récompense.
Les équipes ont eu 13 mois pour se préparer pour la finale et améliorer leurs logiciels. La DARPA exige que chaque logiciel dont disposent les équipes puisse être en mesure de se servir de techniques de mitigation, pour éviter que les adversaires ne puissent exploiter des vecteurs d’attaques connus sur leurs propres systèmes.
Source : site dédié (Cyber Grand Challenge)
Voir aussi :
-
EscapetigerExpert éminent séniorPT pour Pacific Time ?
cf.
Time zone: PDT (Pacific Daylight Time)
Las Vegas, Nevada Time - Local Time in Las Vegas - Time Zone in Las Vegas, Nevadale 27/07/2016 à 1:14 -
Gabin FMembre du Cluble 28/07/2016 à 17:05
-
SkuryMembre actifVisiblement, il sera même possible d'assister à l'événement à distance, depuis le lien dans l'article.
J'espère que ça tombera à une heure "regardable" en France, j'aimerais beaucoup voir à quoi de tels événements ressemblent...le 26/07/2016 à 14:12 -
JipétéExpert éminent séniorJe te laisse calculer à quelle heure d'ici ça va tomber, en te basant sur ce site pour le décalage et sur ces infos :
Thursday, August 4, 2016
5:00pm - 8:00pm PT
Live Eventle 26/07/2016 à 23:16 -
BufferBobExpert éminentpresque, de 2h00 à 5h00
après que ce soit automatisé ou non, un CTF sécurité c'est pas hyper passionnant à regarder, il ne se passe rien visuellement parlant, c'est bien plus fun d'y participer
par contre le fait que l'IA s'invite désormais dans les challenges révèle certainement quelque chose, l'envie assumée (au moins par les USA) de passer à un cran au dessus en terme d'armement numérique peut-être ?le 27/07/2016 à 17:34 -
BufferBobExpert éminentje pense que tu dis ça parce que tu en as la même définition vieillissante que les journaux télévisés
https://fr.wikipedia.org/wiki/Hacking :
Dans un sens large, le « bidouillage » ou hacking concerne les activités visant à détourner un objet de sa fonction première. Le hacking a pour fonction de résoudre ou d'aider à résoudre des problèmes, et cela dans de nombreux domaines.le 30/07/2016 à 23:51 -
SkuryMembre actif
Selon Google, ils ont 8h de moins. Ca fera donc de 1h à 4h du matin le 5 août...
Dommage...le 27/07/2016 à 8:53 -
EscapetigerExpert éminent séniorA mon tour de m' interroger comme Jipété (cf. supra),
Que signifie l 'acronyme DEF CON ?
Même sur la fiche Wikipedia française, ça n'est pas explicité (cf. DEF CON — Wikipédia).le 28/07/2016 à 16:58 -
GEP007Membre du ClubBizarre quand-même d'encourager le Hacking, même pour la bonne cause...le 30/07/2016 à 22:28
-
GEP007Membre du Cluble 01/08/2016 à 11:26