Как бот Mayhem ищет уязвимости для Пентагона. «Минобороны»

04 июнь 2020, Четверг

252

Как бот Mayhem ищет уязвимости для Пентагона. «Минобороны»

В конце 2019 года инженер по безопасности компании Cloudflare
рамблер без рекламы

В мае
рамблер без рекламы

Mayhem представили в 2016 году в одном из отелей Лас-Вегаса в рамках конкурса
рамблер без рекламы

По словам Брамли, интерес со стороны автомобильных и аэрокосмических компаний особенно высок. Машины и самолёты всё больше полагаются на программное обеспечение, которое должно надёжно функционировать годами и редко обновляется, если это вообще происходит.
Без человека
Mayhem работает только с программами для операционных систем на базе Linux и находит ошибки двумя способами: спонтанно и более целенаправленно. Первый представляет собой технику, которая называется «фаззинг» — отправка заведомо неверных данных (команд или фотографий) и наблюдение за реакцией программы. Второй способ под названием «символьное выполнение» включает в себя создание упрощённой математической репрезентации целевого ПО с целью выявления уязвимостей реальной цели.
В последние несколько лет фаззинг стал более широко использоваться в компьютерной безопасности. В 2019 году Google выпустила работающий по данной технике инструмент, который, как утверждают в компании, обнаружил более 16 тысяч ошибок в браузере Chrome. Но, по словам Хейнса из Cloudflare, этот метод до сих пор широко не используется в промышленности, потому что инструменты для фаззинга обычно требуют слишком тщательной адаптации для каждой целевой программы. Но ForAllSecure смогла решить эту проблему. Это позволило Cloudflare использовать фаззинг на регулярной основе. Символическое выполнение, в свою очередь, помогает найти более сложные ошибки и ранее использовалось в основном в исследовательских лабораториях.
Профессор Университета штата Аризона Рёю Ван надеется, что Mayhem — это только начало более автоматизированного будущего для компьютерной безопасности. Но для этого потребуются боты, занимающиеся обнаружением ошибок, чтобы больше сотрудничать с людьми.
Эксперт в разговоре с WIRED рассказал, что Mayhem показывает, как автоматизация может выполнять полезную работу. Однако существующие автоматические средства не могут помочь при работе с комплексными интернет-сервисами или пакетами программного обеспечения. Лучшее ПО ещё недостаточно умно, чтобы понимать намерения и функционирование программ, как это делают люди.

В конце 2019 года инженер по безопасности компании Cloudflare рамблер без рекламы В мае рамблер без рекламы Mayhem представили в 2016 году в одном из отелей Лас-Вегаса в рамках конкурса рамблер без рекламы По словам Брамли, интерес со стороны автомобильных и аэрокосмических компаний особенно высок. Машины и самолёты всё больше полагаются на программное обеспечение, которое должно надёжно функционировать годами и редко обновляется, если это вообще происходит. Без человека Mayhem работает только с программами для операционных систем на базе Linux и находит ошибки двумя способами: спонтанно и более целенаправленно. Первый представляет собой технику, которая называется «фаззинг» — отправка заведомо неверных данных (команд или фотографий) и наблюдение за реакцией программы. Второй способ под названием «символьное выполнение» включает в себя создание упрощённой математической репрезентации целевого ПО с целью выявления уязвимостей реальной цели. В последние несколько лет фаззинг стал более широко использоваться в компьютерной безопасности. В 2019 году Google выпустила работающий по данной технике инструмент, который, как утверждают в компании, обнаружил более 16 тысяч ошибок в браузере Chrome. Но, по словам Хейнса из Cloudflare, этот метод до сих пор широко не используется в промышленности, потому что инструменты для фаззинга обычно требуют слишком тщательной адаптации для каждой целевой программы. Но ForAllSecure смогла решить эту проблему. Это позволило Cloudflare использовать фаззинг на регулярной основе. Символическое выполнение, в свою очередь, помогает найти более сложные ошибки и ранее использовалось в основном в исследовательских лабораториях. Профессор Университета штата Аризона Рёю Ван надеется, что Mayhem — это только начало более автоматизированного будущего для компьютерной безопасности. Но для этого потребуются боты, занимающиеся обнаружением ошибок, чтобы больше сотрудничать с людьми. Эксперт в разговоре с WIRED рассказал, что Mayhem показывает, как автоматизация может выполнять полезную работу. Однако существующие автоматические средства не могут помочь при работе с комплексными интернет-сервисами или пакетами программного обеспечения. Лучшее ПО ещё недостаточно умно, чтобы понимать намерения и функционирование программ, как это делают люди.

Обсудить

« Май 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Как бот Mayhem ищет уязвимости для Пентагона. «Минобороны»

Читайте также: