Etiket arşivi: siber robot

ABD

Robotların Üzerine Bahis Oynamak 

Yorum yapın

NOT: Dün yayınlanan KÖTÜ ÇOCUKLARDAN ÖNCE HEARTBLEED’İ TESPİT ETMEK başlıklı siber robot geliştime ile ilgili yazının devamıdır.

Ne insanlar ne de makineler bugün hackerları engelleyebilecek kadar hızlı ilerliyor. İlk kez tespit edilen açıklar, zafiyetler 2013 yılında ilk tespitin ardından 4 gün içinde onarılabilirken; güvenlik şirketi Symantec açıkların keşfedilmesinin hemen ardından geçen 30 gün içinde 174 bin 651 saldırı gerçekleştiğini belirtiyor.

Dünyada yeterli korumayı sağlayabilecek çoklukta insan kaynağı yok. Guido, bu yüzden kendi kendini savunan bir yazılımın küçük şirketlerin siber güvenliği için daha ekonomik bir yaklaşım olabileceğini söylüyor. Aynı zamanda büyük şirketlere de uyumlu evrensel içerik sağlayacağını belirtiyor.

Trail of Bits, New York’ta çalıştıracak 20 tane uzman bulamadı.

Guido, “Hepsi aynı şehirde oturan bir ekip bulmamın imkanı yok” diyor. Onun çalışanlarından bazıları Chicago, Washington ve Oakland, California’da bulunuyor ve yılda bir defa New York’ta toplanıyorlar.

Bir araya gelmeler için ise takım kendi tescilli video konferans sistemini oluşturmuş. Guido, bu durumu “Çünkü Skype gibi şeyler olmasını istediğimiz kadar güvenli değil” diye anlatıyor.

Trail of Bits ve For All Secure sert bir rekabetle karşı karşıya. Hükümetin çalıştığı büyük üstlenicilerden olan ve Pentagon siber savunması konusunda deneyimli Rayteon’un da oyuna katılan bir takımı bulunuyor. Deep Red – ismini şirketin logosunun renginden ve IBM’in satranç ustası bilgisayarından alıyor – gayriresmi provayı kazandı.

Brumley ise umutlu: “Onları yenebileceğimizi düşünüyoruz. Yaptıkları işi gerçekten çok seviyoruz çünkü bize ekstra motivasyon veriyor”

Yazılımı Teslim Et ve Bırak Çipler Nerede Olacaksa Oraya Düşsün 

Raytheon’un 3 tam zamanlı çalışandan oluşan ekibi ve gerektiğinde işe dahil olan diğer kurumsal çalışanlar çoğunlukla Florida’daki ofisten çalışıyorlar. Grup sistemi oluştururken çoğunlukla şirketin donanımlarını kullanıyor. Bütün takımlara sistemlerini Amazon’un bulut sisteminde barındırma seçeneği veriliyor.

Raytheon kendi donanımlarını kullanıyor çünkü Deep Red üyesi Tim Bryant’a göre “Yaptığınız şey üzerinde çok fazla kontrole sahipsiniz. Ancak biz bunu yapmıyoruz çünkü bizim donanımımız çok büyük, veya bizim donanımımız çok hızlı, veya küçük veya yavaş. Biz önemli olanın algoritmaları doğru elde etmenin olduğunu düşünüyoruz, çünkü diğer yazılımları etkin bir şekilde analiz eden bir yazılımınız yoksa bir anlamda ne kadar donanıma sahip olduğunuzun da çok önemli değil.”

Raytheon kendi kendini finanse eden bir şirket ve bütün fikri mülkiyet haklarını elinde bulunduruyor. Bağış alanlar, diğer iki takım da dahil, yazılım ve teknik data haklarını hükümete vermeleri gerekiyor.

Çok uluslu şirket genç bir şirket olmasa da rakiplerinin onu öyle düşünmesi gerekiyor.

Bir diğer Raytheon üyesi Brian Knudson ise “Akıllı tahtalarımızı çok sık kullanıyoruz, resimler çiziyor ve düşünülmüş deneyimler üzerinden gidiyoruz. Bu düşünülmüş deneyimler ve tasarım çalışmaları üzerinden giderken ilhamlar geliyor ve bazen de bir anda hiçbir şey yokken ortaya çıkabiliyor. Evinizde koltuğunuzda otururken ilham gelip sizi bulabilir” diye konuşuyor.

Altı yıldır düzenlenen geleneksel DEFCON bayrak kapmaca yarışmasının katılımcılarından olan Raytheon insansız yarışması için yazılımı teslim etmeye hazırlandığını belirtiyor ve çipler nerede olacaksa oraya düşmesi için bırakıyor. Aslında Bryant bazı takım arkadaşlarının “muhtemelen” diğer pratik yarışmalarına katılacağını söylüyor.

Bryant, “Otomatik bayrak kapmaca ile bir düğmeye bastığınızı, makinenin çalıştığını ve sizin limonata içip bir diğer bayrak kapmaca yarışmasına katıldığınızı tasavvur ediyoruz” diye ekliyor.

ABD, Siber Güvenlik

Kötü Çocuklardan Önce ‘Heartbleed’i Tespit Etmek

Yorum yapın

NOT.: Dün yayınlanan ABD Ordusu’nun en zeki hackerları aslında insan değil yazısının ikinci bölümüdür.  

Beyaz Şapkalı Robot hacker geliştirme projesi üzerine çalışan takımın üyeleri geçen yıl 750 bin dolarlık bağış kazanmışlar ve bu da onlara bu çalışma için biraz ara zaman ayırmalarını sağlamış. Aynı zamanda Carnegie Mellon Üniversitesi’nde bir bilgisayar mühendisliği profesörü olan Brumley yaptıkları işi “Bizim asıl motivasyonumuz – biz sadece eğleniyoruz” diye açıklıyor ve “Sadece hoşumuza giden ve özen gösterdiğimiz bir iş. Para bizim bunu yapmamıza olanak tanıyor” diye ekliyor.

DARPA kendilerini çağırmasa bile 9-5 mesai saatleri arasında da aynı türde yazılımı geliştiriyor olacaklarını kaydediyor.

2011’den bu yana Brumley’in araştırmalarında, ya hackerlar tarafından bilinçli olarak yaratılmış ya da Heartbleed Bug olayında olduğu gibi yazılım geliştiriciler tarafından farkında olmadan yaratılmış güvenlik açıklarını tespit etmeyi de içeren otomatik “İstismar aracı (exploit) üretimi” de bulunuyor.

Brumley geçen yıl “Bizim bakış açımıza göre yarışma, bizim araştırmamız için yazılmış gibi” demişti.

Brumley’in beyaz şapkalı hacker araştırması – ve ekibin hackerlarla savaşan robotu – kötü çocuklardan önce bir sonraki Heartbleed’i bulmayı amaçlıyor. İç Güvenlik Bakanlığı istatistiklerine göre geçtiğimiz yıl boyunca yazılım şirketleri ve araştırmacılar 8 bin 500 dolayında güvenlik zafiyeti buldular. Hackerların kaç tane bulduğu ise bilinmiyor.

Kimse iki yıl içinde tamamen otomatik bir siber savaşçı yaratılmasını beklemiyor.

Brumley, 1997 yılında satranç ustası Garry Kasparov’u yenen IBM’in satranç oynayan bilgisayarı Deep Blue’ya göndermede bulunarak “En iyi yarışmacı bilgisayar satranç programlarının en iyi insanla yarışabilmeleri 10 yılı alıyor, hatta onları yenmeleri daha uzun süre alıyor. Yıl sonunda veya iki yıl sonunda hacklenemez bir yazılım sahibi olmak alışıldık birşey değil.” diye konuşuyor.

Kısmen bu sebeple Brumley, başında profesörünün şapkası olduğu halde, DEFCON gibi her yıl düzenlenen hacker buluşmalarında öğrencilere “bayrağı yakala” (CTF) gibi pratik hackleme eğitimi veriyor. 2016 yılında Vegas’taki etkinlik ayrıca DARPA’nın bir turnuvasına ev sahipliği yapacak. Bu “Dünya Serisi” olarak da bilinen geleneksel bir turnuva. Brumley aynı zamanda, bu turnuvayı ardı ardına iki yıl kazanan CMU’nun “Plaid Parliament of Pwning” adlı takımının da bir üyesi. Geçtiğimiz ay da DARPA’ya dört askerî akademinin üyeleri için hazırlanan bir oyunu hazırlamasında yardım etti.

Brumley, “Önümüzeki 10 yıl içinde tam otomasyonun insanın yerini alacağının” şüpheli olduğunu söylüyor ve “Bunu görme isteriz ama öyle olacağını sanmıyoruz ve bu arada biz de alanı yetiştirmek zorundayız” diye ekliyor.

Brumley, Cyber Grand Challange’ın siber güvenliğin yapay zekanın devralacağı yönündeki kehanetine de tam olarak inanmıyor. Ona göre siber güvenlik her zaman için bir sonraki zafiyeti veya açıklığı öngörmek ve ona göre güvenlik yazılımı tasarlamak için insan aklına ihtiyaç duyacak.

Bu açıdan “Bilgisayarlar biz onları ne yapması için programlarsak onu yaparlar, ama her zaman bir sonraki saldırıyı düşünen ve bilgisayarı programlayan bir insana her zaman ihtiyacınız olacaktır” diye konuşuyor.

Takım için şimdilik herşey yolunda. For All Secure yarışmacılar arasında ilk 10’a girdi.

Sonuç? 2 Milyon Dolar ve Bir Devrimi Tetikleme Şansı

Merkezi NYC’de bulunan Trail of Bits adlı genç şirketin, geçtiğimiz ayki prova etkinliğinde bilgisayarlarına adeta yapışmış vaziyette 10 çalışanı bulunuyordu. Bu on kişiden 4’ü tam zamanlı olarak çalışanlardan oluşuyordu.

Şirketin kurucularından olan Dan Guido, DARPA’nın test etkinliğini şu sözlerle anlattı: “DARPA’nın yanında sistemimizi baştan sona ilk kez test ettiğimiz için bizim açımızdan çok gerilimli bir zamandı. Herkes göreve hazır şekilde bekliyordu. Bütün eller masadaydı, sistemin beklenildiği gibi çalışmasından emin olmaya çalışıyordu. Sistem açıkları kolayca çözüyordu ve eksik bir durum gözükmüyordu”

Amazon’un bulut sisteminden çalıştırılan takımın sistemi, aynı zamanda ilk 10’a girmeyi de başardı. Trail of Bits, tıpkı For All Secure gibi katılmak için hükümetten finans desteği alıyor.

Guido’nun umudu, yarışmayı kazandıktan sonra sadece masraflarını karşılayabilmek. Gudio, “Bunu bir nefes alma olarak görüyoruz. Bunu şirket için para kazandıracak bir proje olarak görmüyoruz. 2 milyon dolar bizim için güzel bir ödül” diye anlatıyor.

Gerçek sonuç ise zafiyetleri otomatik olarak bulan ve çözen bir yazılım geliştirmek olacak. Guido, birçok organizasyonun maliyetinden dolayı giderek gelişmekte olan bilgisayar tehditlerini tanımlayabilecek yetenekli, etik sahibi hackerları kiralayamadığını söylüyor.

Cyber Grand Challenge Program Yöneticisi Mike Walker’a göre bahse konu olan pay 2 milyon dolarlık ödülden çok daha fazla.

Walker, geçtiğimiz yıl bir Bloomberg siber güvenlik konferansında “Buradaki pay, bir otomasyon teknoloji devriminin başlangıcı – otomasyonun bilgisayar güvenliğinin geleceği olduğu düşüncesi – ve uzmanlar ile otomasyon arasındaki oyun alanını yerle bir etme şansı.” demişti.

DARPA, kendi kendini iyileştiren bilgisayarlar icat etmeye çalışan tek federal ajans değil. Ulusal Güvenlik Ajansı ve DHS yakın zaman önce bilgisayarların ve diğer cihazların bir saldırıdan sonra kendilerini toparlayabilmelerine öncülük edecek Otomatik Güvenlik Çevresi Girişimi (Enterprise Automated Security Environment – EASE) üzerinde işbirliği yapmaya başladı.

(SB Notu: Heartbleed, açık kaynak kodlu kriptografi kütüphanesi OpenSSL’de tespit edilen bir yazılım hatasıdır. Bu açık sayesinde bir saldırgan sunucu hafızasından veri okuyabildiği gibi, bir sunucunun SSL özel anahtarlarını da ele geçirebilir.)