بات Mayhem آسیب‌پذیری‌ها را برای پنتاگون کشف می‌کند

بات Mayhem که توسط استارتاپ ForAllSecure توسعه پیدا کرده‌است وظیفه شناسایی آسیب‌پذیری‌ها را در پنتاگون برعهده دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در دنیای نرم‌افزار آسیب‌پذیری‌های زیادی وجود دارند که می‌توان از آنها سوءاستفاده و به سیستم‌های مختلف حمله کرد. در همین راستا توسعه ابزاری که بتواند این آسیب‌پذیری‌ها را شناسایی کند، اهمیت بالایی دارد. یک بات با نام Mayhem که توسط استارتاپ ForAllSecure توسعه پیدا کرده، چنین وظیفه‌ای را در پنتاگون برعهده دارد.

در رقابت هکرها با یکدیگر در دفکان سال ۲۰۱۶، یکی از بزرگ‌ترین کنفرانس‌های سالانه هکرها در لاس‌وگاس، تیم خالق Mayhem توانست جایزه Cyber Grand Challenge دارپا را تصاحب کند.

این تیم حضور کمرنگی روی صحنه داشت و داوران با ۷ سرور روبه‌رو شدند که هریک از آنها حاوی بات‌هایی برای کشف باگ‌ها در سرورهای دیگر بودند و علاوه بر شکار آنها، باگ‌های خود را نیز برطرف می‌کردند. پس از ۸ ساعت این بات که تیمی از آزمایشگاه امنیت دانشگاه کارنگی ملون وظیفه توسعه آن را برعهده داشت، توانست جایزه ۲ میلیون دلاری را برنده شود.

برنده شدن یک جایزه بزرگ به معنای امکان استفاده از یک سیستم یا بات در دنیای واقعی نیست. با این حال تیم توسعه‌دهنده Mayhem توانست با نمایش فوق‌العاده خود وارد بازار شود. استارتاپ ForAllSecure برای استفاده از بات خود پیشنهادهای مختلفی از کشورهایی مانند چین داشت، اما با واحد نوآوری دفاعی، بخشی از پنتاگون که سعی دارد فناوری‌های جدید را وارد ارتش ایالات متحده آمریکا کند، قرارداد بست.

یکی از چالش‌های این استارتاپ، اثبات عملکرد Mayhem در زمینه جست‌وجوی باگ در نرم افزار کنترل نمونه نظامی هواپیماهای مسافربری تجاری مورد استفاده توسط نیروهای آمریکایی بود. این بات توانست فقط در چند دقیقه، آسیب‌پذیری این سیستم را پیدا کند که البته این مشکل توسط سازنده هواپیما تایید و برطرف شد.

از دیگر باگ‌هایی که توسط این بات پیدا شده می‌توان به آسیب‌پذیری موجود در نرم‌افزار OpenWRT در سال جاری میلادی اشاره کرد. این نرم‌افزار توسط میلیون‌ها دستگاه شبکه مورد استفاده قرار می‌گیرد. این بات فقط در برنامه‌های توسعه پیدا کرده برای سیستم عامل‌های مبتنی بر لینوکس کارایی دارد و از دو تکنیک برای شناسایی باگ‌ها استفاده می‌کند.

تکنیک اول با نام فازینگ، نرم افزار هدف را با ورودی‌های تصادفی از دستورات گرفته تا تصاویر، بمباران می‌کند. تکنیک دوم که اجرای نمادین نام دارد، شامل ایجاد یک نمایش ریاضی ساده از نرم‌افزار هدف می‌شود که می‌تواند برای شناسایی نقاط ضعف هدف اصلی به صورت ساده مورد تحلیل قرار بگیرد. تکنیک فازینگ در سال‌های گذشته مورد استفاده گسترده‌ای صورت گرفته و سال گذشته نیز گوگل یک ابزار فازینگ عرضه کرد که توانست بیش از ۱۶ هزار باگ در مرورگر کروم پیدا کند.

بات Mayhem می‌تواند باعث خودکار شدن فرایند بررسی امنیت سیستم‌های کامپیوتری در آینده شود، اما برای دست‌یابی به آن باید چنین بات‌هایی همکاری بیشتری با انسان‌ها داشته‌باشند. در حالی که ابزار توسعه یافته توسط ForAllSecure نشان‌دهنده عملکرد مناسب بات‌ها در زمینه شناسایی باگ‌های نرم‌افزاری است، نمی‌تواند در بخش سرویس‌های اینترنتی پیچیده یا پکیج‌های نرم‌افزاری کارایی بالایی داشته‌باشد.

شرکت‌ها و استارتاپ‌ها فعالیت خود در این حوزه را افزایش داده‌اند، بنابراین انتظار می‌رود در سال‌های آینده با بات‌های پیشرفته‌تری مواجه شویم تا بدون نیاز به انسان، قادر به شناسایی آسیب‌پذیری‌های نرم‌افزارها باشند.