Team maakt systeem voor automatisch vinden en patchen van lekken open source

Het team achter het ‘Mechanical Phish’-systeem heeft dit open source gemaakt op GitHub. Met dit systeem wist het Shellphish-team begin augustus de derde plaats op de Darpa Cyber Grand Challenge te halen. Het is in staat om automatisch lekken in software te vinden en te patchen.

In een bericht bij het GitHub-project schrijft het team dat de software ‘extreem gecompliceerd’ is. Dit heeft ermee te maken dat er voor de Cyber Grand Challenge geen soortgelijk systeem bestond, zo leggen de makers uit. Daarom is Mechanical Phish voorzien van een groot aantal ‘ruwe’ componenten en ontbreekt er op veel gebieden documentatie. Het zelfbenoemde hackercollectief Shellphish hoopt dan ook dat de community het project oppakt en verbetert, vooral op dit laatste punt.

Het team waarschuwt ook dat Mechanical Phish moeilijk op te zetten is. Sommige componenten van het project hebben eigen GitHub-pagina’s en andere vallen onder het hoofdproject. Zo worden kwetsbaarheden bijvoorbeeld gevonden door het Rex-onderdeel en is de Pactherex-component verantwoordelijk voor het uitvoeren van patches. Alles wordt vervolgens bijeengehouden door de Worker-component.

De finale van de Cyber Grand Challenge vond begin augustus plaats in de Amerikaanse stad Las Vegas. Dit was de eerste keer dat een toernooi plaatsvond, waarbij de deelnemende systemen automatisch lekken in elkaars software moesten ontdekken en tegelijkertijd eigen kwetsbaarheden moesten verhelpen. Het toernooi werd gewonnen door het ‘Mayhem’-systeem van het ForAllSecure-team, wat dat team twee miljoen dollar opleverde. Het Amerikaanse Darpa heeft het toernooi georganiseerd om de ontwikkeling van systemen die zelfstandig beveiligingstaken kunnen uitvoeren te steunen.