DARPA начинает разработку систем компьютерной безопасности, способных самостоятельно находить и исправлять уязвимости

[SLY_G]

Третий Терминатор? Четвёртый Индиана Джонс? Первые три части Звёздных войн? Что это?

[vsespb]

Какая вообще задача ставится? Кто будет искать уязвимость, кто исправлять, кто деплоить? И там и там робот? Или человек тоже будет? Как человек будет с роботом взаимодействовать?
Какие языки поддерживаются?

Самое главное — «исправленная» уязвимость будет являться г***окодом временной заплаткой, которую в конце придётся человеку переделывать? Или оно само сверится с бизнес-требованиями, сценариями атаки, здравым смыслом? Если две программы взаимодействуют — оно само решит, какая из них нарушает стандарты и какую из них исправлять?

Вот, когда робот должен управлять автомобилем, я могу понять задачу.

[shara]

Вспоминается недавняя статья про автоматически сгенерированный алгоритм для tcp, который непонятно как работает. И комментарий DIHALT

[Biga]

Я вам без всякой системы скажу, что главная уязвимость — в прокладке между стулом и компьютером.

[qw1]

Теперь я понимаю мотивацию скайнет )))

[Deeman]

Поскольку это DARPA, то догадываюсь, что главной задачей системы будет нахождение уязвимостей. А что с ними делать, будут решать хозяева системы. Целый банк 0-day дыр в популярном софте — это самый настоящий Клондайк для военных и не только.

[ivan_kolmycheck]

В США проблемы с финансами, дорого 0-day скупать стало?

[sartakov]

хорошая задача. потратить на нее пару лет не жалко.

[ilyaplot]

способных автоматически анализировать и исправлять уязвимости

Бага в самой системе не наделает дыр? С одной стороны, контроль человеком может избавить от ошибок программы, исправляющей ошибки, но с другой стороны человеческий фактор может положить начало SkyNet…
Даже не знаю, как воспринимать новость.

[xvilka]

Отнюдь не новая ветвь исследований, но многообещающая. Как правило, реализованы такие системы на базе декомпиляторов/дизассемблеров в IL/IR (Intermediate Language/Intermediate Representation) бинарных файлов, или компиляция в него, в случае исходников. Например, в BAP, VEX или LLVM IL. Дальше идет высокоуровневая логика, совмещающая в себе формальную верификацию по общей модели архитектуры, символьное исполнение и использование расширенных SMT решателей. Например, AEG — Automatic Exploit Generation security.ece.cmu.edu/aeg/

Таким образом, это — закономерное продолжение предыдущих исследований.

[Quiensabe]

Давно думаю что было бы классно, если бы сканеры уязвимостей типа небезызвестного nikto.pl умели не только находить ошибки на сайте, а еще и исправлять их. Понятно что ошибки связанные с логикой далеко не всегда можно исправить автоматически. Но есть большие классы «глупых» ошибок, распространенных повсеместно.

Не выставленные права, не обновленное ПО, не измененный пароль по-умолчанию, ошибки в настройках…
И большинству пользователей совершенно некогда вникать в причины и искать способы исправления… Нужно чтобы сайт не взломали, деньги не украли, инет-доступом/принтером не воспользовались…

Конечно встает вопрос доверия, если одна программа будет иметь все доступы… Но с другой стороны, большинство сегодня спокойно пользуются антивирусами, а если подумать — закрытая программа, имеет полный доступ ко всему на компе, да еще и с сервером общается постоянно…

[rtzra]

А вот мне интересно: история — это сплошное противостояние щита и меча. Не появятся ли системы автоматического противодействия «Grand Challenge»? Т.е. автоматического поиска и эксплуатации уязвимостей. Вот будет весело, когда развернется глобальное мочилово одних систем другими.

[titulusdesiderio]

так они уже давно существуют.