De opmars van de robothacker

Het tegenhouden van kwaadaardige hackers en het beveiligen van software is supermoeilijk. Maar wat als je software zou kunnen maken die andere software hackt, bugs vindt en die sneller repareert dan menselijke hackers?

Deze uitdaging komt uiteindelijk neer op de mantra in de wereld van informatiebeveiliging (of cybersecurity, als je liever de wat hippere term gebruikt): aanvallers hoeven maar één keer te winnen—of één bug te vinden—terwijl de beveiligers altijd moeten winnen, zonder de marge van ook maar één fout. Hier kan automatische beveiligingssoftware helpen. In essentie zou dit een robothacker zijn die wel altijd zou kunnen winnen en zijn kwaadaardige tegenpolen altijd voor zou zijn.

De software bestaat nog niet, maar DARPA, de onderzoekstak van het Amerikaanse leger, denkt dat dat maar een kwestie van tijd is.

"Ik geloof dat het wereldkampioenschap hacken binnenkort door een machine zal worden gewonnen," dat ​zei Mike Walker, een projectmanager van DARPA, vorig jaar.

Walker verwijst hier naar "capture the flag," de bekendste soort hackwedstrijd. Hackers proberen dan systemen ofwel te kraken dan wel te verdedigen. De beroemdste capture-the-flagwedstrijd is ieder jaar tijdens DEF CON, 's werelds grootste hackconferentie.

Volgend jaar zal tijdens DEF CON de eerste capture the flag plaatsvinden waar alleen computers en geen menselijke hackers aan mee mogen doen. De machinale hackers gaan dan de strijd aan om de 2 miljoen dollar aan prijzengeld van de Cyber Grand Challenge van DARPA binnen te slepen.

Meer dan 100 teams van professionele computerbeveiligers doen mee aan deze wedstrijd en zij bouwen allemaal hun eigen versie van de machine die ook ooit de menselijke hacker zal gaan vervangen.

"Als je gelooft in het wereldbeeld dat 'robots onze toekomst zullen overnemen,' dan is het doel van de Cyber Grand Challenge om hackers werkeloos te maken," aldus Andrew Ruef, onderzoeker van Trail of Bits, een van de bedrijven die aan de wedstrijd meedoen.

Maar voor DARPA is automatisering de enige weg naar een veiligere toekomst.

"De enige effectieve manier om ons te verdedigen tegen het alsmaar groeiende aantal en de toenemende diversiteit aan cyberaanvallen is door volledig over te schakelen op geautomatiseerde systemen die aanvallen direct kunnen herkennen en neutraliseren," zegt Walker. (DARPA was voor dit stuk niet beschikbaar voor commentaar.)

Het grote voordeel van machines ten opzichte van mensen is dat ze nooit hoeven te slapen en dat ze per seconde meer berekeningen kunnen uitvoeren. Dus, het is veel effectiever om softwarematig te zoeken naar bugs en beveiligingslekken, dan met een team van menselijke hackers, hoe goed die ook zijn.

Maar volgens Ruef zullen in de realiteit nog steeds menselijke hackers nodig zijn, om de hackrobots te leren wat ze moeten doen en waar ze naar moeten kijken. Met andere woorden: een computer kan makkelijk de snelste weg van A naar B berekenen, maar hij kan nooit zelfstandig op het idee komen om naar B te gaan, zo stelt Ruef.

Bovendien is het moeilijk om een programma te maken die de intuïtie van een hacker heeft. Daarom zullen we in de nabije toekomst nog zeker menselijke computerbeveiligers en hackers nodig hebben.

"Computers kunnen de dingen waarvoor ze geprogrammeerd zijn, maar je zal altijd een persoon nodig hebben die een nieuwe aanval bedenkt en een computer daarvoor programmeert," dat zegt David Brumley, de medeoprichter van For all Secure, een startup uit Pittsburg in de Verenigde Staten, tegen NextGov. Zijn bedrijf is een van de favorieten om de wedstrijd van DARPA te winnen.

Daarom denkt Ruef dat als er nu een wedstrijd zou zijn tussen een menselijke en een robothacker, de menselijke hacker zeer waarschijnlijk zou winnen.

Net als het onderzoek naar deze technologie, is de wedstrijd van DARPA ook pas net begonnen. Voor deze week staat de tweede testronde gepland als opmaat naar de officiële kwalificaties van 3 juni. Uit de teams die zich weten te kwalificeren, worden er door DARPA zeven geselecteerd die in 2016 de strijd tegen elkaar op zullen nemen.

Eén robothacker zal winnen en daarmee voor zijn bazen 2 miljoen dollar aan prijzengeld winnen. En op een dag maakt hij ze misschien ook nog werkeloos.