Für Eltern gibt es doch an Samstagen nicht schöneres, als die eigene Brut dabei zu beobachten, wie sie bei irgendwelchen Sport-Wettbewerben in muffigen Turnhallen Bällen hinterherrennt. Auch für Hacker gibt es Wettbewerbe. Ohne Bälle allerdings. Und meist finden diese in Universitäten oder Konferenzbereichen von Hotels statt – nach 36 Stunden mit Pizza, Döner, Bier und Mate-Drinks riecht es dort aber ähnlich wie in einer Turnhalle … glauben Sie mir.
Bei Hacker-Wettbewerben versuchen verschiedene Teams, ein mit künstlichen Lücken präpariertes System zu knacken. Wer findet alle Schwachstellen, wer ist schneller, wer kommt tiefer ins System, wer schafft es, die geheimen Daten zu stehlen. Ausrichter sind oft staatliche Stellen, oftmals auch mit militärischem Hintergrund. Sie wollen den Nachwuchs im Bereich IT-Security rekrutieren. Ziel: die eigene Infrastruktur künftig besser zu sichern, aber auch die Möglichkeit, ausländische Systeme im Kriegsfall lahm zu legen.
Die Zeit der Wettbewerbe für Hacker neigt sich jedoch dem Ende. Denn … Hacker braucht man bald nicht mehr. Diese Arbeit übernehmen – wen wundert’s – Computer. Schon länger gibt es Hacker-Wettbewerbe, bei denen ausschließlich Computer gegeneinander antraten. Sie sollen sich gegenseitig hacken aber auch Angriffe erkennen und abwehren. Insbesondere für das Militär ist das von großem Interesse, schließlich werden künftig Kriege in technologisch modernen Ländern im Netz und nicht auf dem Schlachtfeld gestartet. Hier gewinnt, wer die Infrastruktur des Gegners schneller lahmlegt. Daher sucht man gute Hacker in Wettbewerben – egal, ob Mensch oder Maschine.
Bei der aktuellen Cyber Grand Challenge, einem Hacker-Wettbwerb nur für Computer, hat ein autonomes System diesmal einen (nicht vorbereiteten) Bug gefunden, von dem sogar die Ausrichter gar nichts wussten. John Launchbury, Chef des Information Innovation Office der DARPA erzählte davon bei einem Vortrag auf der Usenix Enigma. Über die gefundene Lücke startete das System dann selbständig einen erfolgreichen Angriff gegen ein anderes System.
Das ist jetzt nichts wirklich Besonderes, denn das ist exakt das, was die Maschinen tun sollen. Spannender ist da schon, dass ein drittes System den Angriff im Netz selbständig „beobachtet“ und analysiert hat – und umgehend einen Bugfix für sich selbst programmiert und installiert hat, damit es nicht selbst zum Opfer wird. All das geschah ohne menschlichen Eingriff und … in sage und schreibe 20 Minuten. Ganz ehrlich, in der Zeit haben wir es früher bei Hacker-Wettbewerben nicht einmal geschafft, die Bestellung für das Team bei Call-a-Pizza aufzugeben.
Bildnachweis: (c) beebright via Fotolia
Interessant finde ich in diesem Zusammenhang, dass Microsoft seinen Patchday für Februar 2017 absagen musste und diesen dann im März 2017 nachholen will. Sicherlich sind Updates ihm Rahmen eines Windows-Patchday komplizierter als solche im Rahmen eines Hacker-Wettbewerbs, aber es ist nur schwer erträglich, wenn für Windows Anwender über vier Wochen Sicherheitslücken nicht geschlossen werden.
Ich denke „menschliche“ Hacker wird es noch lange geben. Hacken hat denke ich viel mit Psyhologie zu tun und da sind Menschen eher gefragt als PCs. Sie können sich nämlich sehr gut in andere Menschen hineinversetzen. Gute Serie dazu ist Mr.Robot
Ja, das stimmt. Social Engineering ist ja auch ein „wichtiger“ Zweig der Daten- oder Zugangsbeschaffung. Mr.Robot habe ich gesehen (zumindest die erste Staffel), hat mir gefallen und Spaß gemacht.