Botnät kan möta sin match i Robot Hackers

Förra sommaren arrangerade Pentagon en tävling i Las Vegas där kraftfulla datorer spenderade 12 timmar på att försöka hacka varandra i jakten på en handväska på 2 miljoner dollar. Nu börjar Mayhem, mjukvaran som vann, att sätta sina hackingkunskaper i bruk i den verkliga världen.





Mayhem skapades av säkerhetsstart ForAllSecure , medgrundad av Carnegie Mellon-professorn David Brumley och två av hans doktorander. Brumley säger att företaget har börjat anpassa Mayhem för att automatiskt kunna hitta och korrigera brister i vissa typer av kommersiell programvara, inklusive Internetenheter som routrar.

Tester pågår med hemliga partners, inklusive en tillverkare av internetenheter, för att se om Mayhem kan hjälpa företag att identifiera och åtgärda sårbarheter i sina produkter snabbare och mer omfattande. Fokus ligger på att möta utmaningen med företag som behöver ägna avsevärda resurser till att stödja år av tidigare produkter med säkerhetsuppdateringar. I slutet av förra året använde hackare ett enormt botnät av komprometterade Internetenheter som kameror för att ta ner webbplatser inklusive Reddit och Twitter.

Nu när en maskin har äventyrats tar det dagar eller veckor för någon att märka och sedan dagar eller veckor – eller aldrig – tills ett plåster sätts ut, säger Brumley. Föreställ dig en värld där första gången en hackare utnyttjar en sårbarhet kan han bara utnyttja en maskin och sedan lappas den.

Förra året, Brumley publicerade resultat från att mata nästan 2 000 router firmware-bilder genom några av de tekniker som drev Mayhem. Över 40 procent, representerande 89 olika produkter, hade minst en sårbarhet. Programvaran hittade 14 tidigare oupptäckta sårbarheter som påverkade 69 olika mjukvarubyggen. ForAllSecure arbetar också med försvarsdepartementet med idéer för hur Mayhem kan användas i verklig värld för att hitta och åtgärda sårbarheter.

Cyber ​​Grand Challenge-tävlingen Mayhem vann förra året arrangerades av Pentagon's Defense Advanced Research Projects Agency, DARPA, i ett försök att stimulera forskning om idén att automatisera en del av säkerhetsexperternas arbete. Lag gick in i programvara som var tvungen att patcha och skydda en samling serverprogramvara, samtidigt som de identifierade och utnyttjade sårbarheter i programmen under ledning av sina konkurrenter. (DARPA har hävdat att uppmuntrande utveckling av tekniken i det fria kommer att luta den mot att användas i första hand för defensiva, inte offensiva, syften.)

Giovanni Vigna , en professor vid University of California, Santa Barbara, säger att ansträngningar för att praktiskt använda tekniker från DARPA-botstriden är viktiga. Men han säger att drömmar om automatiserade hackare som städar upp alla världens säkerhetsbrister är orealistiska, eftersom människor fortfarande kommer att behöva kontrollera sitt arbete.

Säg att du är ett routerföretag. Dessa killar kommer inte att vilja distribuera en patch som inte har någon kvalitetssäkring och som kan ta alla deras enheter offline, säger han. Vigna ledde teamet vars MechanicalPhish-programvara kom på tredje plats i DARPA-tävlingen förra sommaren. Programvaran har varit släppt som öppen källkod för andra att experimentera med.

Brumley erkänner det problemet. Många människor – inklusive i den amerikanska regeringen – föredrar att ha en människa i slingan snarare än att låta automatiserad programvara köra showen, säger han.

Jag är inte emot det, men jag känner att det bromsar upp processen, säger Brumley. Han hoppas att när autonoma hackare och fixare bevisar sitt värde, kommer de att få arbeta med mindre mänsklig övervakning.

Dölj