Koden krigare av framtida bokstavligen kan vara dator-koden fungerar som krigare för att försvara sig mot angripare på datorn nätverk.
Defense Advanced Research Projects Agency, eller DARPA, gav oss en inblick i den framtida förra söndagen, när det meddelades vinnarna i sin It-Grand Challenge på DEF CON.
Sju lag deltog i utmaningen att skapa ett system som används för robotar att hitta och åtgärda problem programvara utan mänsklig inblandning.
“Vår mission är att förändra vad som är möjligt, så att vi kan ta stora steg framåt i vår nationella säkerhet kapacitet. Och om det är vad vårt jobb är att varje dag, jag tror att vi gjorde det idag,” sade DARPA Direktör Arati Prabhakar.
Att ta hem US$2 miljoner stora pris var
ForAllSecure, en start som grundades av ett team av datasäkerhet forskare från Pittsburgh, för dess Förödelse system.
Att vinna andra priset på $1 miljon var
TECHx, som består av ett team av programvara för analys experter från GrammaTech och University of Virginia i Charlottesville.
Tredje plats efterbehandlare, Shellphish, en grupp för datavetenskap doktorander vid University of California-Santa Barbara
SecLab, vann $750 000 kronor.
Att Bryta Lock-Picks
De lag som deltar i den händelse tillbringade tre år att få sina system i form av världens första allt-maskin hacka turnering.
När tävlingen började, bot lagen spelade en version av “capture the flag”, ett spel som ofta spelas av mänskliga hackare för att diagnostisera och patch brister i realtid kontradiktoriska miljö.
Gnistor flög i åtta timmar och 96 omgångar av, tills maskinerna hade skapat 421 ersätter binärer som var mer säker än den ursprungliga koden, och författade 650 unika bevis på sårbarheten i den programvara som de granskas.
“Det finns ett talesätt i hacker gemenskapen att” zero day kan hända vem som helst.’ Vad det betyder är att det okända brister i mjukvara är en universal lås-plocka för inkräktare,” DARPA CGC Program Manager Mike Walker.
“Ikväll har vi visade att maskiner kan finns som kan upptäcka dessa lock-picks och svara omedelbart”, fortsatte han. “Vi har omdefinierat vad som är möjligt, och vi gjorde det i loppet av timmar med autonoma system som vi utmanade världen med att bygga.”
Ur Komfort-Zon
Vissa leverantörer redan utför maskinen skanna och fastställande av kända sårbarheter, konstaterade Amol Sarwate, chef för sårbarhet labs på Qualys.
“Vad DARPA är inriktningen är okända sårbarheter, eller zero-day sårbarheter,” han berättade TechNewsWorld.
Medan de system som används i utmaningen behöver ytterligare förfining, att de är värdefulla för DARPA: s mål.
“Vad DARPA gör med dessa utmaningar är att väcka intresse och visa världen vad som är möjligt,” sade Sarwate.
Med Grand Challenge, DARPA är att försöka få säkerhetsbranschen ur sin comfort zone, föreslog Rami Essaid, VD,
Destillera Nätverk.
“Vi i branschen har alltid varit ett reaktivt till ett problem. Vad DARPA försöker göra är att, genom automatisering, är att få oss att vara proaktiv om brister och säkerhetsproblem”, sa han till TechNewsWorld.
“De visar oss att vi inte behöver vänta och reagera på frågor — som med hjälp av någon form av automation, någon form av maskin intelligens, kan vi få ut inför frågor som dyker upp,” Essaid påpekade. “Det är en mer framåt sätt att göra it-säkerhet.”
Människa-Maskin-Mix
Programvara för säkerhet i dag är delat mellan människor och maskiner.
“Det är nu upp till människor genom manuell kreativa översyn för att identifiera allt som programvaran har missat, och den skillnaden är för stor”, säger Alex Ris, CTO på
HackerOne.
“DARPA Grand Challenge handlar om att avsevärt öka möjligheten för maskiner och tekniska system för att identifiera de sårbarheter som har missat av sin författare”, sa han till TechNewsWorld.
Tanken är inte att ersätta människor i processen, men för att få maskiner att plocka upp mer av lasten.
“För överskådlig framtid, vi ska absolut behöver kraften i mänsklig kreativitet tillämpas på detta problem,” Ris sade.
“Vad som är klart är att gapet mellan vad människor gör och maskiner inte behöver vara smalare. Det finns inte tillräckligt många kompetenta personer för att identifiera alla sårbarheter ut det utan betydligt mer hjälp av datorsystem,” förklarade han. “Ingen av vinnarna av utmaningen hade en perfekt poäng. Om vi inte är nära att få en perfekt poäng i en simulerad miljö, vi kommer inte att närma sig den i en verklig miljö.”
Sakernas internet som Hot
Förändringar i programvaruutveckling är att behovet av DARPA bot krigare ännu mer angeläget.
“Programvara har radikalt förändrats under det senaste decenniet,” sade Chandra Rangan, vice vd för marknadsföring för Hewlett Packard Företag. “Vi använde för att bygga mjukvara på en årlig tidsram. Nu finns nya versioner som trycks ut på nästan en vecka.”
Med den förkortning av utveckling har det skett en ökning i programvara brister.
“En av fem program har en eller flera kritiska säkerhetsproblem. Mobila applikationer är värre — en av tre”, sa han till TechNewsWorld. “Vi ser fler sårbarheter eftersom traditionella stringens ibland saknas.”
Problemet kommer att bli värre när Internet of Things enheter översvämma marknaden.
“Problemet kommer att bli astronomiska med tillväxten av sakernas internet och anslutna enheter,” sade Ram Mohan, chief technology officer på
Afilias.
“En stor del av IoT-enheter behöver inte ta hänsyn till säkerheten i sin design,” han berättade TechNewsWorld, “så du kommer att ha ett gapande hål där dessa enheter inte har möjlighet att uppgradera. De kommer att släppas ut i det vilda och vara där för livet.”