211service.com
Robottīkli varētu sastapties ar robotu hakeriem
Pagājušajā vasarā Pentagons organizēja konkursu Lasvegasā, kurā lieljaudas datori pavadīja 12 stundas, mēģinot uzlauzt viens otru, cenšoties iegūt 2 miljonus dolāru. Tagad Mayhem, programmatūra, kas uzvarēja, sāk likt lietā savas uzlaušanas prasmes reālajā pasaulē.
Mayhem radīja drošības starta programma ForAllSecure , kuras līdzdibinātājs ir profesors Kārnegijs Melons Deivids Brumlijs un divi viņa doktoranti. Brumley saka, ka uzņēmums ir sācis pielāgot Mayhem, lai varētu automātiski atrast un izlabot trūkumus noteikta veida komerciālā programmatūrā, tostarp interneta ierīcēs, piemēram, maršrutētājos.
Tiek veikti testi ar neizpaužamiem partneriem, tostarp interneta ierīču ražotāju, lai noskaidrotu, vai Mayhem var palīdzēt uzņēmumiem ātrāk un vispusīgāk noteikt un novērst viņu produktu ievainojamības. Galvenā uzmanība tiek pievērsta to izaicinājumu risināšanai, ko rada uzņēmumi, kuriem ir jāvelta ievērojami resursi, lai atbalstītu vairākus gadus vecus produktus ar drošības atjauninājumiem. Pagājušā gada beigās hakeri izmantoja plašu apdraudētu interneta ierīču, piemēram, kameru, robottīklu, lai noņemtu vietnes, tostarp Reddit un Twitter.
Tagad, kad iekārta ir apdraudēta, ir vajadzīgas dienas vai nedēļas, līdz kāds to pamana, un pēc tam dienas vai nedēļas — vai arī nekad — līdz tiek izlikts ielāps, saka Brumlijs. Iedomājieties pasauli, kurā pirmo reizi, kad hakeris izmanto ievainojamību, viņš var izmantot tikai vienu mašīnu, un tad tā tiek izlabota.
Pagājušajā gadā Brumley publicētos rezultātus no gandrīz 2000 maršrutētāja programmaparatūras attēlu ievadīšanas, izmantojot dažus paņēmienus, kas darbināja Mayhem. Vairāk nekā 40 procentiem, kas pārstāv 89 dažādus produktus, bija vismaz viena ievainojamība. Programmatūra atrada 14 iepriekš neatklātas ievainojamības, kas ietekmē 69 dažādas programmatūras versijas. ForAllSecure arī sadarbojas ar Aizsardzības departamentu, lai izstrādātu idejas, kā Mayhem izmantot reālajā pasaulē, lai atrastu un labotu ievainojamības.
Pagājušajā gadā uzvarēto Cyber Grand Challenge konkursu Mayhem organizēja Pentagona Aizsardzības progresīvo pētījumu projektu aģentūra DARPA, cenšoties rosināt pētījumus par ideju automatizēt daļu drošības ekspertu darba. Komandas ievadīja programmatūru, kurai bija jālabo un jāaizsargā servera programmatūras kolekcija, vienlaikus identificējot un izmantojot programmu ievainojamības, ko pārraudzīja konkurenti. (DARPA ir apgalvojusi, ka, veicinot tehnoloģiju attīstību atklātā vidē, tā tiks izmantota galvenokārt aizsardzības, nevis uzbrukuma nolūkos.)
Džovanni Vigna Kalifornijas Universitātes Santabarbaras profesors saka, ka svarīgi ir centieni praktiski izmantot DARPA robotu kaujas paņēmienus. Taču viņš saka, ka sapņi par automatizētiem hakeriem, kas attīra visas pasaules drošības ievainojamības, ir nereāli, jo cilvēkiem joprojām būs jāpārbauda savs darbs.
Pieņemsim, ka esat maršrutētāju uzņēmums. Viņš saka, ka šie puiši nevēlēsies izvietot ielāpu, kam nav kvalitātes nodrošināšanas un kas varētu izmantot visas viņu ierīces bezsaistē. Vigna vadīja komandu, kuras programmatūra MechanicalPhish pagājušajā vasarā ieņēma trešo vietu DARPA konkursā. Programmatūra ir bijusi izlaists kā atvērtais avots lai citi varētu eksperimentēt.
Brumley atzīst šo problēmu. Viņš saka, ka daudzi cilvēki, tostarp ASV valdība, dod priekšroku tam, lai cikls būtu cilvēks, nevis ļautu automatizētai programmatūrai vadīt šovu.
Es neesmu pret to, bet man šķiet, ka tas palēnina procesu, saka Brumlijs. Viņš cer, ka autonomie hakeri un labotāji pierādīs savu vērtību, viņiem tiks atļauts strādāt ar mazāku cilvēku uzraudzību.