Botnets kunnen hun gelijke ontmoeten in robothackers

Afgelopen zomer organiseerde het Pentagon een wedstrijd in Las Vegas waarin krachtige computers 12 uur lang probeerden elkaar te hacken om een ​​portemonnee van $ 2 miljoen te bemachtigen. Nu begint Mayhem, de software die won, zijn hackvaardigheden in de echte wereld in te zetten.





Mayhem is gemaakt door het opstarten van beveiliging ForAllSecure , mede opgericht door Carnegie Mellon-professor David Brumley en twee van zijn promovendi. Brumley zegt dat het bedrijf is begonnen met het aanpassen van Mayhem om automatisch fouten in bepaalde soorten commerciële software te kunnen vinden en repareren, waaronder die van internetapparaten zoals routers.

Er zijn tests gaande met niet nader genoemde partners, waaronder een fabrikant van internetapparaten, om te zien of Mayhem bedrijven kan helpen om kwetsbaarheden in hun producten sneller en vollediger te identificeren en op te lossen. De focus ligt op het aanpakken van de uitdaging van bedrijven die aanzienlijke middelen moeten besteden aan het ondersteunen van jarenlange producten uit het verleden met beveiligingsupdates. Eind vorig jaar gebruikten hackers een enorm botnet van gecompromitteerde internetapparaten zoals camera's om sites als Reddit en Twitter uit de lucht te halen.

Als een machine nu gecompromitteerd is, duurt het dagen of weken voordat iemand het merkt en dan dagen of weken - of nooit - voordat er een patch wordt uitgebracht, zegt Brumley. Stel je een wereld voor waarin de eerste keer dat een hacker een kwetsbaarheid misbruikt, hij slechts één machine kan misbruiken en dan wordt deze gepatcht.

Vorig jaar, Brumley gepubliceerde resultaten van het voeden van bijna 2.000 routerfirmware-afbeeldingen via enkele van de technieken die Mayhem mogelijk maakten. Meer dan 40 procent, wat neerkomt op 89 verschillende producten, had ten minste één kwetsbaarheid. De software vond 14 voorheen onontdekte kwetsbaarheden die van invloed waren op 69 verschillende softwarebuilds. ForAllSecure werkt ook samen met het ministerie van Defensie aan ideeën om Mayhem in de echte wereld te gebruiken om kwetsbaarheden te vinden en op te lossen.

De Cyber ​​Grand Challenge-wedstrijd die Mayhem vorig jaar won, werd georganiseerd door DARPA, het Defense Advanced Research Projects Agency van het Pentagon, in een poging om onderzoek te stimuleren naar het idee om een ​​deel van het werk van beveiligingsexperts te automatiseren. Teams gingen software binnen die een verzameling serversoftware moest patchen en beschermen, terwijl ze ook kwetsbaarheden in de programma's moesten identificeren en exploiteren onder leiding van hun concurrenten. (DARPA heeft beweerd dat het stimuleren van de ontwikkeling van de technologie in de open lucht ertoe zal leiden dat deze voornamelijk voor defensieve, niet offensieve doeleinden wordt gebruikt.)

Giovanni Vigna , een professor aan de Universiteit van Californië, Santa Barbara, zegt dat het belangrijk is om praktisch gebruik te maken van technieken uit de DARPA-botstrijd. Maar hij zegt dat dromen van geautomatiseerde hackers die alle beveiligingsproblemen van de wereld opruimen onrealistisch zijn, omdat mensen hun werk nog steeds moeten controleren.

Stel dat u een routerbedrijf bent. Deze jongens zullen geen patch willen implementeren die geen kwaliteitsborging heeft en al hun apparaten offline zou kunnen halen, zegt hij. Vigna leidde het team wiens MechanicalPhish-software afgelopen zomer derde werd in de DARPA-wedstrijd. De software is vrijgegeven als open source voor anderen om mee te experimenteren.

Brumley erkent dat probleem. Veel mensen, ook in de Amerikaanse regering, hebben liever een mens op de hoogte dan geautomatiseerde software de boel te laten draaien, zegt hij.

Ik ben daar niet tegen, maar ik heb het gevoel dat het het proces vertraagt, zegt Brumley. Hij heeft goede hoop dat als autonome hackers en fixers hun waarde bewijzen, ze zullen mogen werken met minder menselijk toezicht.

zich verstoppen