DARPA anunció un ganador el 4 de agosto de 2016 de su Cyber Grand Challenge DARPA Cyber Grand Challenge . El concurso fue descrito como
diseñado para acelerar el desarrollo de sistemas avanzados y autónomos que pueden detectar, evaluar y parchar vulnerabilidades de software antes de que los adversarios tengan la oportunidad de explotarlos. Los siete equipos que compiten en el evento final de hoy estaban compuestos por piratas informáticos, académicos y expertos en sistemas cibernéticos del sector privado.
Describieron el desafío real como:
Durante casi 10 horas, los competidores jugaron el ejercicio clásico de ciberseguridad de Capturar la bandera en un banco de pruebas creado especialmente para computadora, con una gran variedad de errores ocultos dentro de un software personalizado y nunca antes analizado. Las máquinas tuvieron el desafío de encontrar y parchar en segundos, no en los meses habituales, un código defectuoso que era vulnerable a ser pirateado, y encontrar las debilidades de sus oponentes antes de que lo hicieran los sistemas defensores.
El sistema ganador, Mayhem, se invitaría formalmente a participar en la competencia DEF CON Capture the Flag, "marcando la primera vez que se permitirá que una máquina juegue en ese torneo históricamente humano".
Leí y releí el material en DARPA y todavía no puedo creer que un sistema automatizado haya encontrado algo en el nivel de abril de 2014 error de Heartbleed . Me pregunto si las vulnerabilidades fueron más en el nivel de los avisos de seguridad de Microsoft publicados o las actualizaciones recomendadas o similares (en otras palabras, el "buscador de errores" es más un instalador de parches automático).
¿Alguien sabe cuál era el nivel técnico del banco de pruebas de desafío DARPA en relación con las vulnerabilidades reales de Heartbleed o similares? Supongo que descubriré cuándo Mayhem realmente compite contra humanos en la competencia CTF, pero en este momento tengo dudas.