Pentagona robotu cīņa parāda, kā datori var novērst savus trūkumus

Tas varētu būt vismazāk iespaidīgais šovs, kas jebkad rotā Lasvegasas skatuvi.





Vairāki simti cilvēku ceturtdien pulcējās kazino balles zālē, lai redzētu septiņus jaudīgus, garderobes lieluma datorus, kas izgaismojas ar mirgojošām gaismas diodēm. Neredzami katra mašīna pavadīja stundas, mēģinot uzbrukt programmatūrai, kas darbojas citos uz skatuves esošajos datoros, vienlaikus aizsargājot sevi pret ienākošajiem uzbrukumiem.

Neparastais konkurss un tā galvenā balva 2 miljonu dolāru apmērā var novest pie tā, ka internets un datori kopumā kļūs daudz drošāki. Cyber ​​Grand Challenge tika iestudēts plkst DEF AR Pentagona Aizsardzības progresīvo pētniecības projektu aģentūras rīkotajā uzlaušanas konferencē, lai veicinātu tādas programmatūras izgudrošanu, kas spēj automātiski pamanīt, pārbaudīt un novērst drošības trūkumus. Tas varētu mainīt cīņu pret tādām problēmām kā noziedznieki, kuri izmanto drošības nepilnības, lai katru gadu nozagtu miljoniem patērētāju ierakstu.

Pūlis Parīzes kazino uzmundrināja, kad ceturtdienas vakarā par pagaidu uzvarētāju tika pasludināta drošības kompānijas ForAllSecure izstrādātā programmatūra. Galīgais rezultāts tiks apstiprināts piektdienas rītā pēc tam, kad DARPA būs analizējusi konkursa datu žurnālus.



Deivids Brumlijs Kārnegija Melona universitātes profesors, kurš bija ForAllSecure līdzdibinātājs, sacīja, ka, viņaprāt, rezultāts pierādīja, ka programmatūra spēj autonomi atrisināt dažas drošības problēmas. Viņš teica, ka mēs to uzskatām par pirmo soli.

Katrai ForAllSecure un pārējām sešām komandām bija jāizstrādā robotprogrammatūra, kas darbotos ar jaudīgu, ar ūdeni dzesējamu datoru un rūpētos par gandrīz simts konkursam izveidoto programmu kolekciju. Šīs programmas tika brīvi veidotas, pamatojoties uz pakotnēm, kuras varēja atrast tīmekļa serverī un kuras tika apzināti izstrādātas ar drošības trūkumiem.

DARPA lielais kiberizaicinājums

Katras komandas robotprogrammatūra nopelnīja punktus par kļūdu novēršanu savās programmās, saglabājot to darbību un pārbaudot citu komandu programmas, lai identificētu neizlabotās ievainojamības. Boti nevarēja redzēt programmas, kuras viņiem bija jāuzrauga pirms konkursa.

Daudzi drošības uzņēmumi, drošības pētnieki un noziedznieku hakeri izmanto rīkus, kas automatizē programmatūras iespējamo ievainojamību analīzes procesu. Taču darbs pie drošības trūkumu novēršanas ielāpu izstrādes un izvietošanas ir tikai un vienīgi cilvēku ziņā, sacīja Maiks Vokers , DARPA programmas vadītājs, kurš vadīja darbu pie konkursa. Iemesls, kāpēc tas ir 'liels izaicinājums', ir tas, ka neviena no šīm iespējām nav automatizēta, viņš teica.

Vokers atzina, ka dažas no displejā redzamajām automatizētajām iespējām galu galā varētu tikt izmantotas, lai uzbruktu datortīkliem, kā arī tos aizstāvētu. Taču viņš apgalvoja, ka fakts, ka DARPA rīkoja konkursu atklāti un publicē visus no tā iegūtos datus, liks tehnoloģiju piedāvāt aizsardzības virzienā. Visi datoru drošības rīki ir divējāda lietojuma,” viņš teica. 'Atšķirība starp uzbrukuma un aizsardzības izmantošanu bieži vien ir atklātība.'

Pīters Lī , kurš vada Microsoft pētījumus un piedalījās ceturtdienas pasākumā, sacīja, ka iespēja automātiski ģenerēt drošības trūkumu labojumus palīdzēs programmatūras uzņēmumiem padarīt savus produktus daudz drošākus. Viņš teica, ka tas būtu ļoti nozīmīgs darījums, piemēram, Windows vai Office.

Tims Braients no aizsardzības darbuzņēmēja Raytheon sacīja, ka plāno izmantot tehnoloģiju, kas izstrādāta uzņēmuma Rubeus robotam ar uzņēmuma drošības biznesa klientiem. Viņš teica, ka sarežģītas sistēmas, piemēram, elektrotīkli, kas balstās uz dažāda veida aparatūru, programmatūru un datoriem, varētu gūt labumu no labākiem veidiem, kā atklāt vai novērst ievainojamības. Es domāju, ka mēs runāsim ar kritiskās infrastruktūras uzņēmumiem, un tas viņiem patiešām varētu palīdzēt, sacīja Braients.

Fakts, ka seši no desmitiem kļūdu, ar kuriem robotiem bija jātiek galā, bija balstīti uz reālām ievainojamībām, kas ir izraisījušas haosu tiešsaistē, var arī sniegt pierādījumus par tehnoloģijas praktisko potenciālu.

Komandas kopīgi novērsa piecus klasiskos trūkumus, tostarp Moriss Vārms kas kropļoja internetu 1988. gadā, un 2014. gadā atklājās Heartbleed kļūda, kas varētu izjaukt šifrēšanu, kas aizsargā tiešsaistes darījumus. Džimas robots no Aidaho universitātes pat atrada un novērsa kļūdu, kas nebija apzināti iekļauta konkursa programmās, bet radās nejauši.

Tomēr konkurss parādīja arī dažus drošības robotu ierobežojumus. Uzvarētājs Mayhem piedzīvoja avāriju, kuras dēļ tas kādu laiku nevarēja ģenerēt jaunus ielāpus vai pārbaudīt citas komandas. Viens labojums, ko izvietoja Raytheon Rubeus robots, darbojās, taču bija pārāk sarežģīts un atņēma skaitļošanas jaudu no citām programmām, kas darbojas tajā pašā datorā.

Uzvarējušais bots piektdien atkal sacentīsies DEF CON ikgadējais konkurss cilvēku hakeriem, kas pazīstami kā Capture the Flag jeb CTF. Hakeris, kas pazīstams kā Gynophage, viens no CTF organizatoriem, teica, ka no robotprogrammatūras redzētā uzvarētājs nedrīkst būt stūmējs. Tas noteikti varētu būt pirmajā pieciniekā, bet galu galā mēs domājam, ka to pārvarēs cilvēku pielāgošanās spēja, viņš teica.

Walker of DARPA uzskata, ka robotam ir iespēja uz īsu brīdi būt vadībā piektdienas konkursa sākumā, jo programmatūra var darboties ātrāk nekā cilvēks. Ilgākā termiņā viņš paredz, ka robotprogrammatūras, kas labo un aizsargā programmatūru, darbosies kopā ar cilvēkiem, nevis tos pilnībā aizstāj.

Mēs redzam tīkla aizsardzības nākotni vairāk kā partnerību, sacīja Vokers. DARPA apsver iespēju rīkot otro hakeru konkursu, kurā cilvēki un roboti sadarbojas.

paslēpties