Comments 18
UFO just landed and posted this here
Какая вообще задача ставится? Кто будет искать уязвимость, кто исправлять, кто деплоить? И там и там робот? Или человек тоже будет? Как человек будет с роботом взаимодействовать?
Какие языки поддерживаются?
Самое главное — «исправленная» уязвимость будет являтьсяг***окодом временной заплаткой, которую в конце придётся человеку переделывать? Или оно само сверится с бизнес-требованиями, сценариями атаки, здравым смыслом? Если две программы взаимодействуют — оно само решит, какая из них нарушает стандарты и какую из них исправлять?
Вот, когда робот должен управлять автомобилем, я могу понять задачу.
Какие языки поддерживаются?
Самое главное — «исправленная» уязвимость будет являться
Вот, когда робот должен управлять автомобилем, я могу понять задачу.
-1
Вспоминается недавняя статья про автоматически сгенерированный алгоритм для tcp, который непонятно как работает. И комментарий DIHALT
+3
Я вам без всякой системы скажу, что главная уязвимость — в прокладке между стулом и компьютером.
0
Поскольку это DARPA, то догадываюсь, что главной задачей системы будет нахождение уязвимостей. А что с ними делать, будут решать хозяева системы. Целый банк 0-day дыр в популярном софте — это самый настоящий Клондайк для военных и не только.
+2
хорошая задача. потратить на нее пару лет не жалко.
0
способных автоматически анализировать и исправлять уязвимости
Бага в самой системе не наделает дыр? С одной стороны, контроль человеком может избавить от ошибок программы, исправляющей ошибки, но с другой стороны человеческий фактор может положить начало SkyNet…
Даже не знаю, как воспринимать новость.
-1
Отнюдь не новая ветвь исследований, но многообещающая. Как правило, реализованы такие системы на базе декомпиляторов/дизассемблеров в IL/IR (Intermediate Language/Intermediate Representation) бинарных файлов, или компиляция в него, в случае исходников. Например, в BAP, VEX или LLVM IL. Дальше идет высокоуровневая логика, совмещающая в себе формальную верификацию по общей модели архитектуры, символьное исполнение и использование расширенных SMT решателей. Например, AEG — Automatic Exploit Generation security.ece.cmu.edu/aeg/
Таким образом, это — закономерное продолжение предыдущих исследований.
Таким образом, это — закономерное продолжение предыдущих исследований.
+2
Давно думаю что было бы классно, если бы сканеры уязвимостей типа небезызвестного nikto.pl умели не только находить ошибки на сайте, а еще и исправлять их. Понятно что ошибки связанные с логикой далеко не всегда можно исправить автоматически. Но есть большие классы «глупых» ошибок, распространенных повсеместно.
Не выставленные права, не обновленное ПО, не измененный пароль по-умолчанию, ошибки в настройках…
И большинству пользователей совершенно некогда вникать в причины и искать способы исправления… Нужно чтобы сайт не взломали, деньги не украли, инет-доступом/принтером не воспользовались…
Конечно встает вопрос доверия, если одна программа будет иметь все доступы… Но с другой стороны, большинство сегодня спокойно пользуются антивирусами, а если подумать — закрытая программа, имеет полный доступ ко всему на компе, да еще и с сервером общается постоянно…
Не выставленные права, не обновленное ПО, не измененный пароль по-умолчанию, ошибки в настройках…
И большинству пользователей совершенно некогда вникать в причины и искать способы исправления… Нужно чтобы сайт не взломали, деньги не украли, инет-доступом/принтером не воспользовались…
Конечно встает вопрос доверия, если одна программа будет иметь все доступы… Но с другой стороны, большинство сегодня спокойно пользуются антивирусами, а если подумать — закрытая программа, имеет полный доступ ко всему на компе, да еще и с сервером общается постоянно…
0
А вот мне интересно: история — это сплошное противостояние щита и меча. Не появятся ли системы автоматического противодействия «Grand Challenge»? Т.е. автоматического поиска и эксплуатации уязвимостей. Вот будет весело, когда развернется глобальное мочилово одних систем другими.
0
UFO just landed and posted this here
Sign up to leave a comment.
DARPA начинает разработку систем компьютерной безопасности, способных самостоятельно находить и исправлять уязвимости