Botnets kunne møde deres match i robothackere

Sidste sommer afholdt Pentagon en konkurrence i Las Vegas, hvor kraftige computere brugte 12 timer på at forsøge at hacke hinanden i jagten på en pung på $2 millioner. Nu begynder Mayhem, softwaren, der vandt, at sætte sine hackingfærdigheder i brug i den virkelige verden.

Mayhem blev skabt af sikkerhedsstartup For AllSecure , medstiftet af Carnegie Mellon professor David Brumley og to af hans ph.d.-studerende. Brumley siger, at virksomheden er begyndt at tilpasse Mayhem til automatisk at finde og rette fejl i visse former for kommerciel software, herunder internet-enheder såsom routere.

Tests er i gang med ikke-offentliggjorte partnere, herunder en internetenhedsproducent, for at se, om Mayhem kan hjælpe virksomheder med at identificere og rette sårbarheder i deres produkter hurtigere og mere omfattende. Fokus er på at løse udfordringen med virksomheder, der har behov for at afsætte betydelige ressourcer til at understøtte mange års tidligere produkter med sikkerhedsopdateringer. I slutningen af ​​sidste år brugte hackere et massivt botnet af kompromitterede internetenheder såsom kameraer til at fjerne websteder, herunder Reddit og Twitter.

Nu, når en maskine er kompromitteret, tager det dage eller uger for nogen at bemærke og derefter dage eller uger – eller aldrig – indtil et plaster er sat ud, siger Brumley. Forestil dig en verden, hvor første gang en hacker udnytter en sårbarhed, kan han kun udnytte én maskine, og så er den rettet.

Sidste år, Brumley offentliggjorte resultater fra at føre næsten 2.000 routerfirmwarebilleder gennem nogle af de teknikker, der drev Mayhem. Over 40 procent, der repræsenterer 89 forskellige produkter, havde mindst én sårbarhed. Softwaren fandt 14 hidtil uopdagede sårbarheder, der påvirker 69 forskellige softwarebuilds. ForAllSecure samarbejder også med forsvarsministeriet om ideer til, hvordan Mayhem kan bruges i den virkelige verden for at finde og rette sårbarheder.

Cyber ​​Grand Challenge-konkurrencen Mayhem vandt sidste år blev iscenesat af Pentagon's Defense Advanced Research Projects Agency, DARPA, i et forsøg på at anspore forskning i ideen om at automatisere noget af sikkerhedseksperternes arbejde. Hold gik ind i software, der skulle patche og beskytte en samling serversoftware, samtidig med at de identificerede og udnyttede sårbarheder i programmerne under deres konkurrenters ledelse. (DARPA har hævdet, at opmuntrende udvikling af teknologien i det fri vil vippe den mod primært at blive brugt til defensive, ikke offensive formål.)

Giovanni Vigna , en professor ved University of California, Santa Barbara, siger, at indsatsen for at gøre praktisk brug af teknikker fra DARPA-botkampen er vigtige. Men han siger, at drømme om automatiserede hackere, der skal rydde op i alle verdens sikkerhedssårbarheder, er urealistiske, da mennesker stadig skal tjekke deres arbejde.

Lad os sige, at du er et routerfirma. Disse fyre ønsker ikke at implementere en patch, der ikke har nogen kvalitetssikring og kunne tage alle deres enheder offline, siger han. Vigna ledede holdet, hvis MechanicalPhish-software blev nummer tre i DARPA-konkurrencen sidste sommer. Softwaren har været udgivet som open source for andre at eksperimentere med.

Brumley erkender det problem. Mange mennesker - også i den amerikanske regering - foretrækker at have et menneske i løkken frem for at lade automatiseret software køre showet, siger han.

Det er jeg ikke imod, men jeg føler, at det bremser processen, siger Brumley. Han håber på, at efterhånden som autonome hackere og fixere beviser deres værd, vil de få lov til at arbejde med mindre menneskelig overvågning.

skjule