Pentagon Bot Battle montre comment les ordinateurs peuvent corriger leurs propres défauts

C'est peut-être le spectacle le moins spectaculaire jamais présenté sur une scène de Las Vegas.





Plusieurs centaines de personnes se sont rassemblées dans une salle de bal du casino jeudi pour voir sept ordinateurs puissants de la taille d'une armoire éclairés par des LED clignotantes. Invisiblement, chaque machine a passé des heures à essayer d'attaquer les logiciels exécutés sur les autres ordinateurs sur scène, tout en se défendant contre les attaques entrantes.

Le concours abstrus et son premier prix de 2 millions de dollars pourraient rendre Internet et les ordinateurs en général beaucoup plus sûrs. Le Cyber ​​Grand Challenge a été organisé au DÉF AVEC conférence sur le piratage informatique organisée par la Defense Advanced Research Projects Agency du Pentagone pour stimuler l'invention de logiciels capables de détecter, tester et corriger automatiquement les failles de sécurité. Cela pourrait révolutionner la lutte contre des problèmes tels que les criminels exploitant les faiblesses de la sécurité pour voler des millions de dossiers de consommateurs chaque année.

La foule du casino de Paris a applaudi lorsque le logiciel développé par la société de sécurité ForAllSecure a été déclaré vainqueur provisoire jeudi soir. La confirmation finale du résultat interviendra vendredi matin après que la DARPA aura analysé les journaux de données du concours.



David Brumley , le professeur de l'Université Carnegie Mellon qui a cofondé ForAllSecure, a déclaré qu'il pensait que le résultat prouvait qu'il était possible pour un logiciel de résoudre de manière autonome certains problèmes de sécurité. Nous considérons cela comme la première étape, a-t-il déclaré.

ForAllSecure et les six autres équipes ont chacune dû développer un bot pour fonctionner sur un ordinateur puissant refroidi à l'eau et s'occuper d'une collection de près d'une centaine de programmes créés pour le concours. Ces programmes étaient vaguement calqués sur des packages pouvant être trouvés sur un serveur Web et intentionnellement conçus avec des failles de sécurité.

Cyber ​​Grand Challenge de la DARPA

Le bot de chaque équipe a gagné des points pour avoir corrigé les failles des programmes dont il s'occupe, les avoir maintenus en fonctionnement et sondé les programmes des autres équipes pour identifier les vulnérabilités non corrigées. Les robots n'ont pas pu voir les programmes dont ils devaient s'occuper avant le concours.

De nombreuses sociétés de sécurité, chercheurs en sécurité et pirates informatiques utilisent des outils qui automatisent le processus d'analyse des logiciels pour détecter les vulnérabilités potentielles. Mais le travail de création et de déploiement de correctifs pour les failles de sécurité incombe uniquement aux humains, a déclaré Mike Walker , le responsable du programme DARPA qui a dirigé les travaux sur le concours. La raison pour laquelle il s'agit d'un 'grand défi' est qu'aucune de ces capacités n'a été automatisée, a-t-il déclaré.

Walker a reconnu que certaines des capacités automatisées exposées pourraient éventuellement être utilisées pour attaquer les réseaux informatiques ainsi que pour les défendre. Mais il a affirmé que le fait que la DARPA ait organisé le concours au grand jour et en publie toutes les données inclinera la technologie vers une protection. Tous les outils de sécurité informatique sont à double usage », a-t-il déclaré. 'La différence entre l'utilisation offensive et défensive est souvent l'ouverture.'

Pierre Lee , qui dirige les efforts de recherche de Microsoft et a assisté à l'événement de jeudi, a déclaré que la possibilité de générer automatiquement des correctifs pour les failles de sécurité aiderait les éditeurs de logiciels à rendre leurs produits beaucoup plus sûrs. Ce serait très important pour quelque chose comme Windows ou Office, a-t-il déclaré.

Tim Bryant, de l'entrepreneur de défense Raytheon, a déclaré qu'il s'attendait à utiliser la technologie développée pour le bot Rubeus de l'entreprise avec les clients de l'activité de sécurité de l'entreprise. Les systèmes complexes tels que les réseaux électriques qui reposent sur de nombreux types de matériel, de logiciels et d'ordinateurs pourraient bénéficier de meilleurs moyens de détecter ou de remédier aux vulnérabilités, a-t-il déclaré. Je pense que nous parlerons aux entreprises d'infrastructures critiques, cela pourrait vraiment les aider, a déclaré Bryant.

Le fait que six des dizaines de failles auxquelles les bots ont dû faire face étaient basées sur de véritables vulnérabilités qui ont causé des ravages en ligne peut également fournir une preuve du potentiel pratique de la technologie.

Les équipes ont corrigé collectivement cinq des défauts classiques, dont le Ver de Morris qui a paralysé Internet en 1988 et le bug Heartbleed révélé en 2014 qui pourrait casser le cryptage protégeant les transactions en ligne. Le bot Jima, de l'Université de l'Idaho, a même trouvé et corrigé une faille qui n'était pas intentionnellement incluse dans les programmes du concours mais qui s'était produite par accident.

Cependant, le concours a également montré certaines limites des robots de sécurité. Le gagnant, Mayhem, a subi un crash qui l'a rendu incapable de générer de nouveaux correctifs ou de sonder d'autres équipes pendant un certain temps. Un correctif déployé par le bot Rubeus de Raytheon a fonctionné mais était trop complexe et a aspiré la puissance de calcul d'autres programmes exécutés sur le même ordinateur.

Le bot gagnant participera à nouveau vendredi aux DEF CON's concours annuel pour les pirates humains, connu sous le nom de Capture the Flag, ou CTF. Un hacker connu sous le nom de Gynophage, l'un des organisateurs du CTF, a déclaré d'après ce qu'il a vu des bots, que le gagnant ne devrait pas être un jeu d'enfant. Il pourrait absolument être dans le top cinq, mais finalement nous pensons qu'il sera vaincu par l'adaptabilité des humains, a-t-il déclaré.

Walker de la DARPA pense que le bot a une chance de mener pendant une courte période au début du concours de vendredi, car un logiciel peut agir plus rapidement qu'une personne. À plus long terme, il envisage des bots qui réparent et protègent les logiciels travaillant aux côtés des humains, sans les remplacer complètement.

Nous voyons l'avenir de la défense du réseau davantage comme un partenariat, a déclaré Walker. La DARPA envisage d'organiser un deuxième concours de piratage dans lequel les personnes et les robots travaillent ensemble.

cacher