Η αποστολή του hackathon: να γράψει ένα πρόγραμμα που μπορεί να σαρώσει εκατομμύρια γραμμές κώδικα ανοιχτού κώδικα, να εντοπίσει ελαττώματα ασφαλείας και να τα διορθώσει, όλα αυτά χωρίς ανθρώπινη παρέμβαση. Επιτυχία θα σήμαινε να κερδίσετε εκατομμύρια δολάρια σε έναν διετές διαγωνισμό που χρηματοδοτείται από την DARPA, την Υπηρεσία Προηγμένων Ερευνητικών Έργων Άμυνας.
Ο διαγωνισμός είναι ένα από τα πιο ξεκάθαρα σημάδια μέχρι σήμερα ότι η κυβέρνηση βλέπει τα ελαττώματα στο λογισμικό ανοιχτού κώδικα ως έναν από τους μεγαλύτερους κινδύνους ασφαλείας της χώρας και θεωρεί ότι η τεχνητή νοημοσύνη είναι ζωτικής σημασίας για την αντιμετώπισή του.
Τα δωρεάν προγράμματα ανοιχτού κώδικα, όπως το λειτουργικό σύστημα Linux, βοηθούν στην εκτέλεση των πάντων, από ιστότοπους έως σταθμούς παραγωγής ενέργειας. Ο κώδικας δεν είναι εγγενώς χειρότερος από αυτό που υπάρχει σε ιδιόκτητα προγράμματα εταιρειών όπως η Microsoft και η Oracle, αλλά δεν υπάρχουν αρκετοί ειδικευμένοι μηχανικοί επιφορτισμένοι να τον δοκιμάσουν.
Ως αποτέλεσμα, ο ελλιπώς συντηρημένος δωρεάν κώδικας ήταν η ρίζα ορισμένων από τις πιο ακριβές παραβιάσεις της κυβερνοασφάλειας όλων των εποχών, συμπεριλαμβανομένης της καταστροφής του Equifax του 2017 που εξέθεσε τα προσωπικά στοιχεία των μισών Αμερικανών. Το περιστατικό, το οποίο οδήγησε στη μεγαλύτερη παραβίαση δεδομένων επίλυσηκόστισε στην εταιρεία πάνω από 1 δισεκατομμύριο δολάρια σε βελτιώσεις και κυρώσεις.
Εάν οι άνθρωποι δεν μπορούν να συμβαδίσουν με όλο τον κώδικα που υφαίνεται σε κάθε βιομηχανικό τομέα, η DARPA ελπίζει ότι τα μηχανήματα μπορούν.
«Ο στόχος είναι να έχουμε ένα ολοκληρωμένο «σύστημα συλλογιστικής στον κυβερνοχώρο» που αξιοποιεί μεγάλα γλωσσικά μοντέλα για να βρει τρωτά σημεία, να αποδείξει ότι είναι τρωτά σημεία και να τα διορθώσει», εξήγησε ένας από τους συμβούλους καθηγητές, ο Yan Shoshitaishvili της Πολιτείας της Αριζόνα.
Για να φτάσει εκεί, η ομάδα παλεύει με τη συχνά ζοφερή πραγματικότητα πίσω από υψηλές φιλοδοξίες τεχνητής νοημοσύνης. Οι μαθητές κάνουν πράγματα όπως να επιβάλλουν «έλεγχους υγιεινής» για να συλλάβουν παραισθήσεις, να επαληθεύουν ότι τα patches λύνουν πραγματικά τα προβλήματα που υποτίθεται ότι πρέπει να αντιμετωπίζουν και να έχουν δύο συστήματα τεχνητής νοημοσύνης να συζητούν μεταξύ τους για τις καλύτερες επιδιορθώσεις – με ένα τρίτο AI να αποφασίζει τον νικητή.
«Η τεχνητή νοημοσύνη είναι σαν ένα 3χρονο παιδί με άπειρες γνώσεις», είπε ο μεταπτυχιακός φοιτητής του UC-Santa Barbara και συν-αρχηγός της ομάδας Λούκας Ντρέσελ. «Πρέπει να του δώσετε ανατροφοδότηση με πρακτικές ενέργειες».
Το Team Shellphish είναι ένας από τους περίπου 40 διαγωνιζόμενους σε έναν διαγωνισμό γνωστό ως AIxCC, για πρόκληση τεχνητής νοημοσύνης στον κυβερνοχώρο, και διευθύνεται από την DARPA, τον ερευνητικό βραχίονα του Πενταγώνου που είναι επιφορτισμένος με την ανάπτυξη μυστικών όπλων και την άμυνα εναντίον τους.
«Θέλουμε να επαναπροσδιορίσουμε τον τρόπο με τον οποίο προστατεύουμε ευρέως χρησιμοποιούμενες, κρίσιμες βάσεις κώδικα, λόγω του πόσο ευρέως διαδεδομένο είναι το open-source σε όλους τους τομείς ζωτικής σημασίας υποδομής», δήλωσε ο Andrew Carney, διευθυντής έργου DARPA για τον διαγωνισμό.
Αν και η DARPA βοήθησε στη γέννηση του Διαδικτύου να επιβιώσει από αποτυχίες επικοινωνίας, έχει γίνει οδυνηρά προφανές ότι το δίκτυο εισήγαγε επίσης τεράστιες αδυναμίες.
Χωρίς ενσωματωμένη ασφάλεια, οι τεράστιες διασυνδέσεις επιτρέπουν σε οποιονδήποτε ή οτιδήποτε να ξεκινήσει από οπουδήποτε και να αναζητήσει τρόπους για να μεταβούν σε μηχανές που τροφοδοτούν τον σύγχρονο κόσμο. Μόλις μπουν μέσα, οι χρήστες μπορούν να παρουσιαστούν ως υπάλληλοι ή διαχειριστές συστήματος, να κλέψουν εθνικά ή εμπορικά μυστικά και να κλείσουν το μέρος ή να το κρατήσουν ανοιχτό για λύτρα.
Οι χάκερ διεκδικούν περισσότερα θύματα από ποτέ: Ο αριθμός των παραβιάσεων δεδομένων που αναφέρθηκαν στο Κέντρο καταγγελιών για εγκλήματα στο Διαδίκτυο που διευθύνεται από το FBI τριπλασιάστηκε μεταξύ 2021 και 2023. Κυβερνητικοί πράκτορες τρυπώνουν σε αντίπαλα έθνη» εργοστάσια παραγωγής ενέργειας και νερού. Οι εγκληματικές συμμορίες που κατακλύζονται από το παράνομο κέρδος δεν σκέφτονται τίποτα να χτυπήσουν τα νοσοκομεία και να στείλουν αλλού απελπισμένους ασθενείς.
Λογισμικό ανοιχτού κώδικα, είτε γραμμένο από μαθητές είτε από ιδιοφυΐες, είναι σχεδόν τόσο πανταχού παρόν όσο το ίδιο το Διαδίκτυο, σύμφωνα με ορισμένες εκτιμήσεις που φωλιάζει στο 90% του εμπορικού λογισμικού.
Όπως όλα τα λογισμικά, έχει σφάλματα, μερικά από τα οποία μπορούν να αξιοποιηθούν για να πάρουν τον έλεγχο ενός μηχανήματος.
Ορισμένα μεγάλα έργα ανοιχτού κώδικα διευθύνονται από στρατούς εθελοντών σχεδόν στο μέγεθος της Wikipedia και γενικά είναι σε καλή κατάσταση. Ορισμένοι έχουν συντηρητές στους οποίους χορηγούνται επιχορηγήσεις από μεγάλους εταιρικούς χρήστες που το μετατρέπουν σε δουλειά.
Και μετά υπάρχουν όλα τα άλλα, συμπεριλαμβανομένων προγραμμάτων που γράφτηκαν ως εργασίες για το σπίτι από συγγραφείς που μετά βίας τα θυμούνται.
«Ο ανοιχτός κώδικας ήταν πάντα «Χρησιμοποιήστε με δική σας ευθύνη», είπε ο Brian Behlendorf, ο οποίος ξεκίνησε το Open Source Security Foundation μετά από δεκαετίες διατήρησης ενός πρωτοποριακό δωρεάν λογισμικό διακομιστή, Apache και άλλα έργα στο Ίδρυμα Λογισμικού Apache.
“Δεν είναι δωρεάν όπως στην ομιλία, ή ακόμα και δωρεάν όπως στην μπύρα”, είπε. “Είναι δωρεάν όπως στο κουτάβι και χρειάζεται φροντίδα και τάισμα.”
Οι κίνδυνοι υπογραμμίστηκαν πρόσφατα από δύο πολύ διαφορετικά περιστατικά.
Το πρώτο ήταν μια ευπάθεια σε ένα μικρό πρόγραμμα για την παρακολούθηση της δραστηριότητας του συστήματος, γνωστό ως Log4j, που χρησιμοποιήθηκε από χιλιάδες προγραμματιστές λογισμικού και ήταν εγκατεστημένο σε εκατομμύρια μηχανήματα.
Το 2013, ένας χρήστης πρότεινε την προσθήκη κάποιου κώδικα στο Log4j και η μικρή ομάδα του Apache Foundation που διατηρεί το Log4j τον ενέκρινε. Τον Νοέμβριο του 2021, ένας Κινέζος μηχανικός είδε ότι το προστιθέμενο τμήμα περιείχε ένα τεράστιο σχεδιαστικό ελάττωμα που θα επέτρεπε την εξαγορά συστήματος και επισήμανε το ζήτημα στην ομάδα Apache.
Ενώ ο Apache εργαζόταν σε μια ενημερωμένη έκδοση κώδικα για να διορθώσει το πρόβλημα, ένας άγνωστος ερευνητής ανακάλυψε τις εκκρεμείς αλλαγές και ανέπτυξε ένα κακόβουλο εργαλείο για να πάρει τον έλεγχο των υπολογιστών που εκτελούσαν το Log4j. Ο Apache όρμησε έξω από το patch, ξεκινώντας μια κούρσα μεταξύ χιλιάδων υπερασπιστών και εκείνων που προσπαθούν να εκμεταλλευτούν το ελάττωμα πριν αυτό επιδιορθωθεί.
Πολλές περιπτώσεις Log4j δεν έχουν ακόμη επιδιορθωθεί. Την Πέμπτη, η Υπηρεσία Εθνικής Ασφάλειας και άλλοι προειδοποίησε ότι οι βορειοκορεάτες κατάσκοποι εξακολουθούσαν να εισβάλλουν στους διακομιστές ιστού των ΗΠΑ με παλιές εκδόσεις.
Το Συμβούλιο Αναθεώρησης Κυβερνοασφάλειας του Λευκού Οίκου κατέληξε στο συμπέρασμα ότι μόνο καλύτερη κωδικοποίηση και ενδελεχείς έλεγχοι θα μπορούσαν να είχαν σταματήσει τη διανομή του ελαττώματος του Log4j και ότι οι προσπάθειες ανοιχτού κώδικα όπως του Apache «θα χρειάζονταν σταθερή οικονομική υποστήριξη και τεχνογνωσία».
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) του Υπουργείου Εσωτερικής Ασφάλειας έχει ανταποκριθεί με μικρές επιχορηγήσεις σε νεοσύστατες επιχειρήσεις και έχει πιέσει τις εταιρείες να δηλώσουν τι υπάρχει μέσα στο λογισμικό τους. Αλλά αυτές είναι αργές πρωτοβουλίες.
Η πιο πρόσφατη υπενθύμιση της ευπάθειας ήρθε τον Μάρτιο. Τότε ήταν που ένας μηχανικός της Microsoft εντόπισε μια ελαφρά αύξηση στη χρήση επεξεργαστή σε εργαλεία ανοιχτού κώδικα για Linux που είχαν μόλις ενημερωθεί. Διαπίστωσε ότι είχε εισαχθεί μια πίσω πόρτα για κατασκοπεία από τον επίσημο συντηρητή των εργαλείων και σφύριξε εγκαίρως για να σταματήσει την αποστολή του στις πιο δημοφιλείς εκδόσεις του Linux.
Σε ένα εφιαλτικό σενάριο για τους επαγγελματίες ασφαλείας, ο ανώνυμος συντηρητής είχε κερδίσει τον έλεγχο του έργου μετά από χρόνια συνεισφοράς, με τη βοήθεια μυστικών συμμάχων που πίεζαν τον προηγούμενο διευθυντή να παραχωρήσει τον έλεγχο.
Καθώς η ασφάλεια ανοιχτού κώδικα αυξανόταν για να γίνει κορυφαία προτεραιότητα για την CISA και το κατεστημένο της εθνικής ασφάλειας, το OpenAI και η Microsoft έχασαν το ChatGPT και τη δημιουργία τεχνητής νοημοσύνης στον κόσμο.
Με τον εκδημοκρατισμό του προγραμματισμού, τα νέα εργαλεία επέτρεψαν σε μη κωδικοποιητές να δημιουργήσουν λογισμικό. Η τεχνητή νοημοσύνη βοήθησε επίσης υπάρχοντες προγραμματιστές, συμπεριλαμβανομένων εγκληματιών χάκερ που μπορούσαν να ενσωματώσουν πιο γρήγορα κόλπα για να εκμεταλλευτούν τα τρωτά σημεία και να προσφέρουν πιο πειστικά θέλγητρα, όπως μηνύματα ηλεκτρονικού ταχυδρομείου που φαινόταν να προέρχονται από τακτικές επαφές με κοινά ενδιαφέροντα.
Η τεχνητή νοημοσύνη ενισχύει επίσης τις αμυντικές προσπάθειες, όπως η ανάλυση ομάδων κορμών για ασυνήθιστη συμπεριφορά και η σύνοψη συμβάντων ασφαλείας. Μπορεί επίσης να επισημάνει σφάλματα ασφαλείας στα προγράμματα όπως είναι γραμμένα.
Αλλά το να καταλάβουμε πού βρίσκονται οι τρύπες στα προγράμματα ανοιχτού κώδικα πριν τις βρουν οι επιτιθέμενοι είναι ένα ιερό δισκοπότηρο για την DARPA και τους διαγωνιζόμενους του AIxxCC.
Η DARPA πραγματοποίησε μια πρόκληση στον κυβερνοχώρο στο συνέδριο χάκερ Def Con το 2016, όπου τα προγράμματα διαγωνίστηκαν σε έναν διαγωνισμό «capture the flag» για να χακάρουν το ένα το άλλο σε ένα τεχνητό περιβάλλον.
Στον φετινό διαγωνισμό, οι ομάδες χρησιμοποιούν τα προγράμματά τους ενισχυμένα με AI για να αφομοιώσουν και να βελτιώσουν εκατομμύρια γραμμές πραγματικού κώδικα.
Η Shellphish είναι μία από τις επτά ομάδες που έγραψαν έγγραφα που περιγράφουν την προσέγγισή τους αρκετά καλά ώστε να λάβουν χρηματοδότηση 1 εκατομμυρίου δολαρίων για τα βήματα που θα κορυφωθούν στους ημιτελικούς τον Αύγουστο στο Def Con, που προσέλκυσε 40 συμμετοχές. Ο νικητής θα πάρει άλλα 2 εκατομμύρια δολάρια το 2025.
Μερικά από τα πρώτα εκατομμύρια δολάρια της Shellphish πήγαν για το σπίτι που περιλαμβάνεται στη λίστα Airbnb στο Brea, το οποίο στέγασε χάκερ για τρεις εβδομάδες τον Ιούνιο και άλλες δύο τον Ιούλιο. Περισσότερα πήγαν για ένα τεράστιο περιβάλλον δοκιμών που χρησιμοποιούσε 5.000 πυρήνες κεντρικής μονάδας επεξεργασίας.
Το Shellphish δεν είναι τυχαία ομάδα χάκερ. Αν και συνδέεται στενά με δύο δημόσια πανεπιστήμια με μεταβαλλόμενους πληθυσμούς, η ομάδα υπάρχει εδώ και 20 χρόνια και οι ιδρυτές της εξακολουθούν να συμμετέχουν.
Ο Ιταλός ιθαγενής Giovanni Vigna δίδασκε ασφάλεια υπολογιστών στο UC-Santa Barbara, συμπεριλαμβανομένων τεχνικών για επίθεση και άμυνα, όταν ίδρυσε μια ομάδα capture-the-flag το 2003 για να κάνει τους μαθητές να ενδιαφέρονται περισσότερο και να επεκτείνουν τις δυνατότητές τους. Κέρδισε τον διαγωνισμό Def Con το 2005 και φιλοξένησε τον διαγωνισμό αργότερα για μια τετραετία.
Καθώς οι μαθητές του αποφοίτησαν και εξαπλώθηκαν στην Αριζόνα και αλλού, κάποιοι συνέχισαν να συμμετέχουν ή έβαλαν τους δικούς τους μαθητές σε αυτό.
Η Shellphish συμμετείχε στο αρχικό Cyber Grand Challenge του 2016, αλλά έμεινε νοκ άουτ πριν από τους τελικούς.
«Είχαμε όλα αυτά τα υπέροχα εργαλεία, αλλά εξαντλήθηκε ο χρόνος για να τα ενσωματώσουμε», θυμάται ο Shoshitaishvili. «Οπότε το «Μην γίνεσαι σπασίκλας» ήταν η Νο 1 συμβουλή μου». (Το nerd-sniping αναφέρεται στην απόσπαση της προσοχής κάποιου τεχνικού με ένα ενδιαφέρον πρόβλημα.)
Ο πυρήνας της προσπάθειας είναι εργαλεία γνωστά στην ασφάλεια ως “fuzzers”. Αυτά ενεργοποιούν κάθε είδους δεδομένα σε ένα πρόγραμμα για να δουν πώς χειρίζεται το απροσδόκητο.
Ακόμη και οι μπερδεμένοι φουσκωτοί είναι απίθανο να βρουν τα πιο σκοτεινά ελαττώματα ή σκόπιμες πίσω πόρτες, παραδέχονται τα μέλη της ομάδας. Στα καλύτερά του, το κύριο πρόγραμμα της Shellphish και οι άλλοι θα μπορούν να βρουν γρήγορα πολλά φρούτα χαμηλά και να τα ξεφορτωθούν προτού μπορέσουν να τα εκμεταλλευτούν κακόβουλοι χάκερ.
«Η τεχνητή νοημοσύνη θα είναι σε θέση να λύσει πράγματα που χρειάζονται μήνες στους ανθρώπους», είπε ο Ντρέσελ.
Σύμφωνα με τους όρους του διαγωνισμού DARPA, όλοι οι φιναλίστ πρέπει να κυκλοφορήσουν τα προγράμματά τους ως ανοιχτού κώδικα, έτσι ώστε οι πωλητές λογισμικού και οι καταναλωτές να μπορούν να τα εκτελούν.
Ο Yan συνέκρινε την αναμενόμενη πρόοδο με ορόσημα ασφαλείας, όπως αναγκαστικές ενημερώσεις λογισμικού και “περιοχές δοκιμών” του προγράμματος περιήγησης που εμποδίζουν τα προγράμματα ιστού να διαφύγουν από το πρόγραμμα περιήγησης και να εκτελεστούν αλλού στη συσκευή ενός χρήστη.
Η τεχνητή νοημοσύνη δεν θα είναι σε θέση να κάνει όλο το λογισμικό ασφαλές, είπε. Αλλά θα δώσει στους ανθρώπους περισσότερο χρόνο να προσπαθήσουν.
Μετά από μια τελική, σχεδόν άγρυπνη νύχτα εντοπισμού σφαλμάτων και πανικόβλητων επιδιορθώσεων την τελευταία στιγμή, η Shellphish υπέβαλε το πρόγραμμά της στην προθεσμία των 9 π.μ. Σε λίγες εβδομάδες, στο επόμενο Def Con στο Λας Βέγκας, θα μάθουν αν είναι φιναλίστ. Κερδίστε ή χάσετε, ο κώδικάς τους με τη βοήθεια AI θα είναι διαθέσιμος για να αξιοποιήσουν άλλοι, βελτιώνοντας την ασφάλεια για όλους.