Roboter-Hacker gegen Bot-Netze

Inhaltsverzeichnis

Im vergangenen Sommer richtete das Pentagon einen Wettbewerb in Las Vegas aus, bei dem leistungsfähige Computer für ein Preisgeld von 2 Millionen Dollar versuchten, sich gegenseitig zu hacken. Gewonnen hat damals eine Software namens Mayhem, die jetzt auch in der realen Welt getestet wird.

Entwickelt wurde Mayhem von dem Sicherheits-Startup ForAllSecure, gegründet von David Brumley, Professor an der Carnegie Mellon University, und zwei seiner Doktoranden. Laut Brumley hat das Unternehmen begonnen, Mayhem so anzupassen, dass die Software automatisch Lücken in bestimmten Arten von kommerzieller Software finden und schließen kann, unter anderem auf Internet-Routern.

Software im Sicherheits-Test

Tests mit Partnern, zu denen auch ein Hersteller von Internet-Technik zählt, laufen bereits. In ihnen soll sich zeigen, ob Unternehmen mit Mayhem Schwächen in ihren Produkten tatsächlich schneller und vollständiger identifizieren und beheben können. Entscheidend dabei ist, dass sie erhebliche Ressourcen aufwenden müssen, um jahrelang Sicherheitsupdates für ältere Produkte bereitzustellen. Ende vergangenen Jahres konnten Hacker mit einem riesigen Bot-Netz aus geknackten Internet-Geräten wie zum Beispiel Kameras bedeutende Webseiten wie Reddit und Twitter lahmlegen.

"Heutzutage dauert es Tage oder Wochen, bis jemand bemerkt, wenn ein Maschine kompromittiert wurde, und dann noch einmal Tage oder Wochen – oder sogar ewig – bis eine Korrektur dafür bereit ist", sagt Brumley. "Stellen Sie sich stattdessen eine ganz andere Welt vor: Wenn ein Hacker eine neue Lücke ausnutzt, schafft er das nur bei genau einer Maschine, und dann gibt es einen Patch."

Sicherheits-Software Mayhem in der Praxis

Im vergangenen Jahr hat Brumley Ergebnisse eines Versuchs veröffentlicht, bei dem er Techniken, wie sie auch bei Mayhem eingesetzt werden, bei 2000 Firmware-Images von Routern anwendete. In mehr als 40 Prozent der Fälle und damit bei 89 unterschiedlichen Routern, wurde mindestens eine Schwäche entdeckt. Die Software fand 14 bis dahin unbekannte Sicherheitslücken in 69 verschiedenen Software-Versionen. Auch mit dem US-Verteidigungsministerium beschäftigt sich ForAllSecure mit Möglichkeiten, Mayhem in der Praxis einzusetzen.

Der Wettbewerb Cyber Grand Challenge, den Mayhem gewann, wurde von der Defense Advanced Projects Agency, kurz DARPA, des US-Verteidigungsministeriums veranstaltet. Er sollte Projekte mit dem Ziel fördern, einen Teil der Arbeit von menschlichen Sicherheitsexperten zu automatisieren. Die Teilnehmer traten mit Software an, die unterschiedliche Server-Software reparieren und schützen und gleichzeitig Schwächen bei den Programmen der Konkurrenten identifizieren und ausnutzen sollte.

Giovanni Vigna, Professor an der University of California in Santa Barbara, bezeichnet die Bemühungen um einen praktischen Einsatz der Technologien aus dem Bot-Wettkampf der DARPA als wichtig. Allerdings seien Träume von automatischen Hackern, die alle Sicherheitslücken der Welt schließen, unrealistisch: Es werde immer noch Menschen geben müssen, um die Ergebnisse zu überprüfen.

Von autonomen Hackern und Helfern

"Angenommen, Sie sind ein Hersteller von Routern. Dann wollen Sie bestimmt keinen Patch herausbringen, für den es keine Qualitätssicherung gibt, so dass er alle Geräte vom Netz nehmen könnte", erklärt Vigna. Er hatte das Team geleitet, das mit seiner Software MechanicalFish bei dem DARPA-Wettbewerb den dritten Platz erreichte. Die Software wurde inzwischen zum freien Experimentieren als Open Source veröffentlicht.

Brumley räumt das von Vigna angesprochene Problem ein. Viele Kunden – darunter die US-Regierung – wollten lieber "einen Menschen im Spiel haben", als die gesamte Arbeit automatischer Software zu überlassen, sagt er.

"Ich bin nicht dagegen, aber ich habe das Gefühl, dass der Prozess dadurch verlangsamt würde", so Brumley. Er hofft darauf, dass die autonomen Hacker und Helfer bald ihren Wert beweisen, so dass sie irgendwann mit weniger menschlicher Aufsicht arbeiten können.

(jle)