211service.com
Les botnets pourraient rencontrer leur match dans les robots pirates
L'été dernier, le Pentagone a organisé un concours à Las Vegas au cours duquel des ordinateurs puissants ont passé 12 heures à essayer de se pirater les uns les autres à la recherche d'une bourse de 2 millions de dollars. Maintenant, Mayhem, le logiciel qui a gagné, commence à mettre ses compétences de piratage au travail dans le monde réel.
Mayhem a été créé par une startup de sécurité PourTousSecure , cofondé par le professeur Carnegie Mellon David Brumley et deux de ses doctorants. Brumley dit que la société a commencé à adapter Mayhem pour pouvoir détecter et corriger automatiquement les failles de certains types de logiciels commerciaux, y compris ceux des appareils Internet tels que les routeurs.
Des tests sont en cours avec des partenaires non divulgués, y compris un fabricant d'appareils Internet, pour voir si Mayhem peut aider les entreprises à identifier et à corriger les vulnérabilités de leurs produits plus rapidement et de manière plus complète. L'accent est mis sur la résolution du défi des entreprises qui doivent consacrer des ressources considérables à la prise en charge d'années de produits antérieurs avec des mises à jour de sécurité. À la fin de l'année dernière, les pirates ont utilisé un énorme botnet d'appareils Internet compromis tels que des caméras pour supprimer des sites tels que Reddit et Twitter.
Désormais, lorsqu'une machine est compromise, il faut des jours ou des semaines pour que quelqu'un s'en aperçoive, puis des jours ou des semaines - ou jamais - jusqu'à ce qu'un correctif soit publié, explique Brumley. Imaginez un monde où la première fois qu'un pirate informatique exploite une vulnérabilité, il ne peut exploiter qu'une seule machine, puis elle est corrigée.
L'année dernière, Brumley résultats publiés en alimentant près de 2 000 images de micrologiciels de routeur grâce à certaines des techniques qui ont alimenté Mayhem. Plus de 40 %, représentant 89 produits différents, présentaient au moins une vulnérabilité. Le logiciel a trouvé 14 vulnérabilités non découvertes auparavant affectant 69 versions de logiciels différentes. ForAllSecure travaille également avec le ministère de la Défense sur des idées sur la façon d'utiliser Mayhem dans le monde réel pour trouver et corriger les vulnérabilités.
Le concours Cyber Grand Challenge remporté par Mayhem l'année dernière a été organisé par la DARPA, la Defense Advanced Research Projects Agency du Pentagone, dans le but de stimuler la recherche sur l'idée d'automatiser une partie du travail des experts en sécurité. Les équipes ont introduit des logiciels qui devaient corriger et protéger une collection de logiciels de serveur, tout en identifiant et en exploitant les vulnérabilités des programmes sous la direction de ses concurrents. (La DARPA a affirmé qu'encourager le développement de la technologie à l'air libre l'inclinerait vers une utilisation principalement à des fins défensives et non offensives.)
Jean Vigna , professeur à l'Université de Californie à Santa Barbara, affirme que les efforts pour utiliser concrètement les techniques de la bataille des bots DARPA sont importants. Mais il dit que les rêves de pirates automatisés nettoyant toutes les vulnérabilités de sécurité du monde sont irréalistes, car les humains auront toujours besoin de vérifier leur travail.
Supposons que vous êtes une entreprise de routeurs. Ces gars-là ne voudront pas déployer un correctif qui n'a aucune assurance qualité et pourrait mettre tous leurs appareils hors ligne, dit-il. Vigna a dirigé l'équipe dont le logiciel MechanicalPhish est arrivé troisième au concours DARPA l'été dernier. Le logiciel a été publié en open source pour que d'autres expérimentent.
Brumley reconnaît ce problème. De nombreuses personnes, y compris au sein du gouvernement américain, préfèrent avoir un humain dans la boucle plutôt que de laisser un logiciel automatisé faire le show, dit-il.
Je ne suis pas contre cela, mais j'ai l'impression que cela ralentit le processus, dit Brumley. Il espère qu'à mesure que les pirates et les réparateurs autonomes prouveront leur valeur, ils seront autorisés à travailler avec moins de supervision humaine.