Бот, выигравший хакерское соревнование, теперь использует Пентагон. Теперь он ищет уязвимости в ПО военного ведомства.
В 2016 году бот Mayhem стал чемпионом соревнования DARPA на DEFCON, крупнейшей в мире конференции хакеров, ежегодно проводящейся в Лас-Вегасе. А в конце прошлого года Дэвид Хейнс, инженер по безопасности из компании Cloudflare, специализирующейся на интернет-инфраструктуре, обнаружил странную картинку.
"Это был чистый бред, — приводит его слова Arstechnica. — Целая куча серых и черных пикселей, сделанных машиной". Правда, он отказался поделиться картинкой, заявив, что это будет представлять угрозу безопасности.
Опасения Хейнса были понятны. Образ был создан инструментом под названием Mayhem, который исследует ПО на предмет наличия неизвестных недостатков безопасности. Бот был создан стартапом из Университета Карнеги-Меллона под названием ForAllSecure. Хейнс тестировал его на программном обеспечении Cloudflare, которое изменяет размеры изображений для ускорения работы веб-сайтов, и предоставил ему несколько образцов фотографий. Mayhem превратил их в глючные изображения, которые привели к сбою программного обеспечения для обработки фотографий, таким образом, вызвав незамеченную ошибку.
С тех пор Cloudflare сделала Mayhem стандартной частью своих инструментов безопасности. ВВС, ВМС и армия США тоже использовали его. В прошлом месяце Пентагон заключил с ForAllSecure контракт на $45 млн для расширения использования Mayhem среди военных в США. У отдела есть много ошибок, которые нуждаются в обнаружении. В правительственном отчете за 2018 год было установлено, что почти все системы вооружений, протестированные Министерством обороны в период с 2012 по 2017 год, имели серьезные уязвимости в ПО.
Mayhem не достаточно изощрен, чтобы полностью заменить работу людей, которые ищут уязвимости, используя знания дизайна ПО, навыки чтения кода, креативность и интуицию. Но соучредитель и генеральный директор ForAllSecure Дэвид Брамли утверждает, что этот инструмент может помочь экспертам сделать больше.
