Pentagon Bot Battle muestra cómo las computadoras pueden corregir sus propias fallas

Podría ser el espectáculo menos espectacular que jamás haya aparecido en un escenario de Las Vegas.





Varios cientos de personas llenaron el salón de baile de un casino el jueves para ver siete poderosas computadoras del tamaño de un armario iluminadas con luces LED parpadeantes. Invisiblemente, cada máquina pasó horas tratando de atacar el software que se ejecutaba en las otras computadoras en el escenario, al mismo tiempo que se defendía de los ataques entrantes.

El concurso abstruso y su premio mayor de $ 2 millones podrían llevar a que Internet y las computadoras en general se vuelvan mucho más seguras. El Cyber ​​Grand Challenge se llevó a cabo en el DEF CON conferencia de piratería organizada por la Agencia de Proyectos de Investigación Avanzada de Defensa del Pentágono para estimular la invención de software capaz de detectar, probar y corregir fallas de seguridad automáticamente. Eso podría revolucionar la lucha contra problemas como los delincuentes que explotan las debilidades de seguridad para robar millones de registros de consumidores cada año.

La multitud en el casino de París vitoreó cuando el software desarrollado por la empresa de seguridad ForAllSecure fue declarado ganador provisional el jueves por la noche. La confirmación final del resultado llegará el viernes por la mañana después de que DARPA haya analizado los registros de datos del concurso.



david brumley , el profesor de la Universidad Carnegie Mellon que cofundó ForAllSecure, dijo que creía que el resultado demostraba que era factible que el software resolviera de forma autónoma algunos problemas de seguridad. Vemos esto como el primer paso, dijo.

ForAllSecure y los otros seis equipos tuvieron que desarrollar cada uno un bot para ejecutarlo en una computadora de alta potencia refrigerada por agua y cuidar una colección de casi cien programas creados para el concurso. Esos programas se modelaron libremente en paquetes que podrían encontrarse en un servidor web y se diseñaron intencionalmente con fallas de seguridad.

El gran desafío cibernético de DARPA

El bot de cada equipo ganó puntos por corregir fallas en los programas a su cargo, mantenerlos en funcionamiento y probar los programas de otros equipos para identificar vulnerabilidades no reparadas. Los bots no pudieron ver los programas que tenían que cuidar antes del concurso.

Muchas empresas de seguridad, investigadores de seguridad y piratas informáticos criminales utilizan herramientas que automatizan el proceso de análisis de software en busca de posibles vulnerabilidades. Pero el trabajo de diseñar e implementar parches para fallas de seguridad recae únicamente en humanos, dijo mike walker , el gerente del programa DARPA que dirigió el trabajo en el concurso. La razón por la que es un 'gran desafío' es que ninguna de esas capacidades ha sido automatizada, dijo.

Walker reconoció que algunas de las capacidades automatizadas que se muestran podrían eventualmente usarse para atacar redes informáticas y defenderlas. Pero afirmó que el hecho de que DARPA haya realizado el concurso abiertamente y esté publicando todos los datos inclinará la tecnología hacia la oferta de protección. Todas las herramientas de seguridad informática son de doble uso', dijo. 'La diferencia entre el uso ofensivo y defensivo es a menudo la apertura.'

pedro lee , que dirige los esfuerzos de investigación de Microsoft y asistió al evento del jueves, dijo que poder generar automáticamente correcciones para fallas de seguridad ayudaría a las empresas de software a hacer que sus productos sean mucho más seguros. Sería un gran problema para algo como Windows u Office, dijo.

Tim Bryant, del contratista de defensa Raytheon, dijo que esperaba usar la tecnología desarrollada para el bot Rubeus de la empresa con los clientes del negocio de seguridad de la empresa. Los sistemas complejos, como las redes eléctricas que dependen de muchos tipos de hardware, software y computadoras, podrían beneficiarse de mejores formas de detectar o remediar las vulnerabilidades, dijo. Creo que hablaremos con empresas de infraestructura crítica, esto realmente podría ayudarlas, dijo Bryant.

El hecho de que seis de las docenas de fallas con las que tuvieron que lidiar los bots se basaran en vulnerabilidades reales que han causado estragos en línea también puede proporcionar evidencia del potencial práctico de la tecnología.

Los equipos arreglaron colectivamente cinco de las fallas clásicas, que incluían la gusano morris que paralizó Internet en 1988 y el error Heartbleed revelado en 2014 que podría romper el cifrado que protege las transacciones en línea. El bot Jima, de la Universidad de Idaho, incluso encontró y arregló una falla que no se incluyó intencionalmente en los programas del concurso sino que ocurrió por accidente.

Sin embargo, el concurso también mostró algunas limitaciones de los bots de seguridad. El ganador, Mayhem, experimentó un bloqueo que le impidió generar nuevos parches o investigar a otros equipos durante un tiempo. Una solución implementada por el bot Rubeus de Raytheon funcionó, pero era demasiado compleja y absorbía la potencia informática de otros programas que se ejecutaban en la misma computadora.

El bot ganador competirá nuevamente el viernes en DEF CON's competencia anual para piratas informáticos humanos, conocido como Capture the Flag o CTF. Un hacker conocido como Gynophage, uno de los organizadores de la CTF, dijo que, por lo que vio de los bots, el ganador no debería ser fácil de convencer. Absolutamente podría estar entre los cinco primeros, pero en última instancia creemos que será superado por la adaptabilidad de los humanos, dijo.

Walker de DARPA cree que el bot tiene la posibilidad de liderar por un corto tiempo al comienzo del concurso del viernes, ya que el software puede actuar más rápido que una persona. A más largo plazo, prevé bots que reparan y protegen el software trabajando junto con los humanos, sin reemplazarlos por completo.

Vemos el futuro de la defensa de la red más como una asociación, dijo Walker. DARPA está considerando realizar un segundo concurso de piratería en el que las personas y los bots trabajen juntos.

esconder