211service.com
ボットネットはロボットハッカーで一致する可能性があります
昨年の夏、国防総省はラスベガスでコンテストを開催しました。このコンテストでは、高性能のコンピューターが12時間かけて、200万ドルの財布を求めてお互いをハッキングしようとしました。現在、勝ったソフトウェアであるメイヘムは、ハッキングスキルを現実の世界で活用し始めています。
メイヘムはセキュリティスタートアップによって作成されました ForAllSecure 、カーネギーメロン教授によって共同設立されました デビッドブラムリー と彼の博士課程の学生の2人。 Brumley氏によると、同社は、ルーターなどのインターネットデバイスを含む、特定の種類の商用ソフトウェアの欠陥を自動的に検出してパッチを適用できるように、Mayhemの適応を開始したとのことです。
メイヘムが企業が自社製品の脆弱性をより迅速かつ包括的に特定して修正するのに役立つかどうかを確認するために、インターネットデバイスメーカーを含む非公開のパートナーとのテストが進行中です。焦点は、セキュリティアップデートで過去の製品をサポートするためにかなりのリソースを費やす必要がある企業の課題に対処することにあります。昨年末、ハッカーはカメラなどの侵害されたインターネットデバイスの大規模なボットネットを使用して、RedditやTwitterなどのサイトをダウンさせました。
現在、マシンが危険にさらされた場合、誰かが気付くまでに数日または数週間かかり、パッチがリリースされるまで数日または数週間、あるいは決してそうはなりません、とBrumleyは言います。ハッカーが初めて脆弱性を悪用したとき、1台のマシンしか悪用できず、パッチが適用される世界を想像してみてください。
昨年、Brumley 公開された結果 メイヘムに電力を供給したいくつかの技術を通じて、約2,000のルーターファームウェアイメージをフィードすることから。 89の異なる製品を表す40%以上に、少なくとも1つの脆弱性がありました。ソフトウェアは、69の異なるソフトウェアビルドに影響を与える14の以前に発見されていない脆弱性を発見しました。 ForAllSecureはまた、国防総省と協力して、メイヘムを現実の世界で使用して脆弱性を見つけて修正する方法のアイデアについて取り組んでいます。
昨年優勝したサイバーグランドチャレンジコンテストのメイヘムは、国防高等研究計画局(DARPA)が、セキュリティ専門家の作業の一部を自動化するというアイデアの研究に拍車をかけるために開催されました。チームは、サーバーソフトウェアのコレクションにパッチを適用して保護する必要があるソフトウェアを入力すると同時に、競合他社の管理下にあるプログラムの脆弱性を特定して悪用しました。 (DARPAは、オープンな技術の開発を奨励することで、攻撃的ではなく、主に防御的な目的で使用されるようになると主張しています。)
ジョバンニ・ヴィーニャ カリフォルニア大学サンタバーバラ校の教授は、DARPAボットバトルの技術を実用化するための努力が重要であると述べています。しかし彼は、自動化されたハッカーが世界中のセキュリティの脆弱性をすべてクリーンアップするという夢は非現実的だと言います。人間はまだ自分の仕事をチェックする必要があるからです。
あなたがルーター会社だとしましょう。これらの人々は、品質保証がなく、すべてのデバイスをオフラインにする可能性のあるパッチを展開することを望んでいないと彼は言います。 Vignaは、昨年夏のDARPAコンテストでMechanicalPhishソフトウェアが3位になったチームを率いていました。ソフトウェアはされています オープンソースとしてリリース 他の人が実験するために。
Brumleyはその問題を認めています。米国政府を含む多くの人々は、自動化されたソフトウェアにショーを実行させるよりも、人間をループに入れることを好むと彼は言います。
私はそれに反対していませんが、それはプロセスを遅くしていると感じています、とBrumleyは言います。彼は、自律的なハッカーとフィクサーがその価値を証明するにつれて、人間の監督が少なくて済むようになることを望んでいます。