Хакерский бот, умеющий искать уязвимости, теперь используется Пентагоном

Бот Mayhem, способный обнаружить в ПО неизвестные уязвимости, стали использовать в Пентагоне, сообщает 6 июня аналитическое интернет-издание Arstechnica.

В 2016 году именно Mayhem стал победителем DARPA на DEFCON, крупнейшей в мире конференции хакеров, ежегодно проводящейся в Лас-Вегасе.

Данный программный инструмент был создан стартапом из Университета Карнеги-Меллона под названием ForAllSecure.

После того, как инженер по безопасности из компании Cloudflare Дэвид Хейнс обнаружил, что бот Mayhem смог вмешаться в работу сервиса компании, который сжимает картинки для передачи в сети Internet, он стал использовать его для проверки безопасности сервисов.

Так же поступили и в Пентагоне — они заключили с компанией ForAllSecure контракт на $45 млн для расширения использования Mayhem среди военных систем США. Правительственный отчет за 2018 год показал, что почти все системы вооружения, которые Министерство обороны тестировало в период с 2012 по 2017 год, имели серьезные уязвимости в программном обеспечении.

Mayhem недостаточно сложен, чтобы полностью заменить работу людей, ищущих ошибки, которые используют знания о разработке программного обеспечения, навыки чтения кода, креативность и интуицию. Однако соучредитель и генеральный директор компании ForAllSecure Дэвид Брамли говорит, что этот инструмент может помочь экспертам сделать больше.

В мировом программном обеспечении неизвестных проблем с безопасностью больше, чем тех, которые успевают найти эксперты. С каждой минутой появляется все больше недостатков. «Безопасность — это не безопасность или отсутствие безопасности, а то, как быстро вы можете действовать», — сказал Брамли.