Как бот Mayhem ищет уязвимости для Пентагона. «Минобороны»

В конце 2019 года инженер по безопасности компании Cloudflare рамблер без рекламы В мае рамблер без рекламы Mayhem представили в 2016 году в одном из отелей Лас-Вегаса в рамках конкурса рамблер без рекламы По словам Брамли, интерес со стороны автомобильных и аэрокосмических компаний особенно высок. Машины и самолёты всё больше полагаются на программное обеспечение, которое должно надёжно функционировать годами и редко обновляется, если это вообще происходит. Без человека Mayhem работает только с программами для операционных систем на базе Linux и находит ошибки двумя способами: спонтанно и более целенаправленно. Первый представляет собой технику, которая называется «фаззинг» — отправка заведомо неверных данных (команд или фотографий) и наблюдение за реакцией программы. Второй способ под названием «символьное выполнение» включает в себя создание упрощённой математической репрезентации целевого ПО с целью выявления уязвимостей реальной цели. В последние несколько лет фаззинг стал более широко использоваться в компьютерной безопасности. В 2019 году Google выпустила работающий по данной технике инструмент, который, как утверждают в компании, обнаружил более 16 тысяч ошибок в браузере Chrome. Но, по словам Хейнса из Cloudflare, этот метод до сих пор широко не используется в промышленности, потому что инструменты для фаззинга обычно требуют слишком тщательной адаптации для каждой целевой программы. Но ForAllSecure смогла решить эту проблему. Это позволило Cloudflare использовать фаззинг на регулярной основе. Символическое выполнение, в свою очередь, помогает найти более сложные ошибки и ранее использовалось в основном в исследовательских лабораториях. Профессор Университета штата Аризона Рёю Ван надеется, что Mayhem — это только начало более автоматизированного будущего для компьютерной безопасности. Но для этого потребуются боты, занимающиеся обнаружением ошибок, чтобы больше сотрудничать с людьми. Эксперт в разговоре с WIRED рассказал, что Mayhem показывает, как автоматизация может выполнять полезную работу. Однако существующие автоматические средства не могут помочь при работе с комплексными интернет-сервисами или пакетами программного обеспечения. Лучшее ПО ещё недостаточно умно, чтобы понимать намерения и функционирование программ, как это делают люди.