با Mayhem آشنا شوید؛ باتی که باگ‌های نرم‌افزاری را برای پنتاگون شکار می‌کند

با Mayhem آشنا شوید؛ باتی که باگ‌های نرم‌افزاری را برای پنتاگون شکار می‌کند

در دنیای نرم افزار آسیب‌پذیری‌های زیادی وجود دارند که می‌توان از آن‌ها سوءاستفاده و به سیستم‌های مختلف حمله کرد. در همین راستا توسعه ابزاری که بتواند این آسیب‌پذیری‌ها را شناسایی کند، اهمیت بالایی دارد. یک بات با نام «Mayhem» که توسط استارتاپ «ForAllSecure» توسعه پیدا کرده، چنین وظیفه‌ای را در پنتاگون برعهده دارد.

شاید تا به امروز نام «دف کان»، یکی از بزرگترین کنفرانس‌های هکرها که سالانه در لاس وگاس برگزار می‌شود، به گوشتان خورده باشد. رقابت هکرها با یکدیگر یکی از بخش‌های دف کان را تشکیل می‌دهد که در سال ۲۰۱۶ تیم خالق Mayhem توانست جایزه «Cyber Grand Challenge» دارپا را در این مسابقات تصاحب کند.

این تیم حضور کمرنگی روی صحنه داشت و داوران با ۷ سرور روبه‌رو شدند که هریک از آن‌ها حاوی بات‌هایی برای کشف باگ‌ها در سرورهای دیگر بودند و علاوه بر شکار آن‌‌ها، باگ‌های خود را نیز برطرف می‌کردند. پس از ۸ ساعت این بات که تیمی از آزمایشگاه امنیت دانشگاه «کارنگی ملون» وظیفه توسعه آن را برعهده داشت،  توانست جایزه ۲ میلیون دلاری را برنده شود.

برنده شدن یک جایزه بزرگ به معنای امکان استفاده از یک سیستم یا بات در دنیای واقعی نیست، با این حال تیم توسعه‌دهنده Mayhem توانست با نمایش فوق‌العاده خود وارد بازار شود. استارتاپ ForAllSecure برای استفاده از بات خود پیشنهادهای مختلفی از کشورهایی مانند چین داشت، اما با واحد نوآوری دفاعی، بخشی از پنتاگون که سعی دارد فناوری‌های جدید را وارد ارتش ایالات متحده آمریکا کند، قرارداد بست.

پنتاگون

یکی از چالش‌های این استارتاپ، اثبات عملکرد Mayhem در زمینه جستجوی باگ در نرم افزار کنترل نمونه نظامی هواپیماهای مسافربری تجاری مورد استفاده توسط نیروهای آمریکایی بود. این بات توانست تنها در چند دقیقه، آسیب‌پذیری این سیستم را پیدا کند که البته این مشکل توسط سازنده هواپیما تایید و برطرف شد.

از دیگر باگ‌هایی که توسط این بات پیدا شده می‌توان به آسیب‌پذیری موجود در نرم ‌افزار «OpenWRT» در سال جاری میلادی اشاره کرد. این نرم افزار توسط میلیون‌ها دستگاه شبکه مورد استفاده قرار می‌گیرد. این بات تنها در برنامه‌های توسعه پیدا کرده برای سیستم عامل‌های مبتنی بر لینوکس کارایی دارد و از دو تکنیک برای شناسایی باگ‌ها استفاده می‌کند.

تکنیک اول با نام «فازینگ»، نرم افزار هدف را با ورودی‌های تصادفی از دستورات گرفته تا تصاویر، بمباران می‌کند. تکنیک دوم که «اجرای نمادین» نام دارد، شامل ایجاد یک نمایش ریاضی ساده از نرم افزار هدف می‌شود که می‌تواند برای شناسایی نقاط ضعف هدف اصلی به صورت ساده مورد تحلیل قرار بگیرد. تکنیک فازینگ در سال‌های گذشته مورد استفاده گسترده‌ای صورت گرفته و سال گذشته نیز گوگل یک ابزار فازینگ عرضه کرد که توانست بیش از ۱۶ هزار باگ در مرورگر کروم پیدا کند.

بات Mayhem می‌تواند باعث خودکار شدن فرایند بررسی امنیت سیستم‌های کامپیوتری در آینده شود، اما برای دستیابی به آن باید چنین بات‌هایی همکاری بیشتری با انسان‌ها داشته باشند. در حالی که ابزار توسعه یافته توسط ForAllSecure نشان‌دهنده عملکرد مناسب بات‌ها در زمینه شناسایی باگ‌های نرم افزاری است، نمی‌تواند در بخش سرویس‌های اینترنتی پیچیده یا پکیج‌های نرم افزاری کارایی بالایی داشته باشد.

شرکت‌ها و استارتاپ‌ها فعالیت خود در این حوزه را افزایش داده‌اند، بنابراین انتظار می‌رود در سال‌های آینده با بات‌های پیشرفته‌تری مواجه شویم تا بدون نیاز به انسان، قادر به شناسایی آسیب‌پذیری‌های نرم افزارها باشند.

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

Digiato

رمزتان را گم کرده‌اید؟

Digiato