باتی که باگ ها را برای پنتاگون شکار می نماید
به گزارش هیو بلاگ، در دنیای نرم افزار آسیب پذیری های زیادی وجود دارند که می توان از آن ها سوءاستفاده و به سیستم های مختلف حمله کرد. به همین دلیل توسعه ابزاری که بتواند این آسیب پذیری ها را شناسایی کند، اهمیت بالایی دارد. یک بات با نام Mayhem که توسط استارتاپ ForAllSecure توسعه پیدا نموده، چنین وظیفه ای را در پنتاگون برعهده دارد.
شاید تا به امروز نام دف کان، یکی از عظیمترین کنفرانس های هکرها که سالانه در لاس وگاس برگزار می گردد، به گوشتان خورده باشد. رقابت هکرها با یکدیگر یکی از بخش های دف کان را تشکیل می دهد که در سال 2016 تیم خالق Mayhem توانست جایزه Cyber Grand Challenge دارپا را در این مسابقات تصاحب کند.
این تیم حضور کمرنگی روی صحنه داشت و داوران با 7 سرور روبه رو شدند که هریک از آن ها حاوی بات هایی برای کشف باگ ها در سرورهای دیگر بودند و علاوه بر شکار آن ها، باگ های خود را نیز رفع می کردند. پس از 8 ساعت این بات که تیمی از آزمایشگاه امنیت دانشگاه کارنگی ملون وظیفه توسعه آن را برعهده داشت، توانست جایزه 2 میلیون دلاری را برنده گردد.
برنده شدن یک جایزه عظیم به معنای امکان استفاده از یک سیستم یا بات در دنیای واقعی نیست، با این حال تیم توسعه دهنده Mayhem توانست با نمایش فوق العاده خود وارد بازار گردد. استارتاپ ForAllSecure برای استفاده از بات خود پیشنهادهای مختلفی از کشورهایی مانند چین داشت، اما با واحد نوآوری دفاعی، بخشی از پنتاگون که سعی دارد فناوری های جدید را وارد ارتش ایالات متحده آمریکا کند، قرارداد بست.
یکی از چالش های این استارتاپ، اثبات عملکرد Mayhem در زمینه جستجوی باگ در نرم افزار کنترل نمونه نظامی هواپیماهای مسافربری تجاری مورد استفاده توسط نیروهای آمریکایی بود. این بات توانست تنها در چند دقیقه، آسیب پذیری این سیستم را پیدا کند که البته این مشکل توسط سازنده هواپیما تایید و رفع شد.
از دیگر باگ هایی که توسط این بات پیدا شده می توان به آسیب پذیری موجود در نرم افزار OpenWRT در امسال میلادی اشاره نمود. این نرم افزار توسط میلیون ها دستگاه شبکه مورد استفاده قرار می گیرد. این بات تنها در برنامه های توسعه پیدا نموده برای سیستم عامل های مبتنی بر لینوکس کارایی دارد و از دو تکنیک برای شناسایی باگ ها استفاده می نماید.
تکنیک اول با نام فازینگ، نرم افزار هدف را با ورودی های تصادفی از دستورات گرفته تا تصاویر، بمباران می نماید. تکنیک دوم که اجرای نمادین نام دارد، شامل ایجاد یک نمایش ریاضی ساده از نرم افزار هدف می گردد که می تواند برای شناسایی نقاط ضعف هدف اصلی به صورت ساده مورد تحلیل قرار بگیرد. تکنیک فازینگ در سال های گذشته مورد استفاده گسترده ای اجرا شده و سال گذشته نیز گوگل یک ابزار فازینگ عرضه کرد که توانست بیش از 16 هزار باگ در مرورگر کروم پیدا کند.
بات Mayhem می تواند باعث اتوماتیک شدن فرایند آنالیز امنیت سیستم های کامپیوتری در آینده گردد، اما برای دستیابی به آن باید چنین بات هایی همکاری بیشتری با انسان ها داشته باشند. در حالی که ابزار توسعه یافته توسط ForAllSecure نشان دهنده عملکرد مناسب بات ها در زمینه شناسایی باگ های نرم افزاری است، نمی تواند در بخش سرویس های اینترنتی پیچیده یا پکیج های نرم افزاری کارایی بالایی داشته باشد.
شرکت ها و استارتاپ ها فعالیت خود در این حوزه را افزایش داده اند، بنابراین انتظار می رود در سال های آینده با بات های پیشرفته تری روبرو شویم تا بدون احتیاج به انسان، قادر به شناسایی آسیب پذیری های نرم افزارها باشند.
منبع : دیجیاتو
منبع: آی تابناکمجله آی سیب: مجله آی سیب | مجله فناوری های جدید، رایانه ها، موبایل ها و کجت های هوشمند
مجله بیزبینگ: مجله بیزبینگ، مجله موفقیت در کارآفرینی و کسب و کار