La línea del frente en la batalla para proteger la infraestructura crítica de los Estados Unidos pasó este mes por una casa de alquiler en el Condado de Orange.
Más de una docena de hackers de la Universidad Estatal de Arizona, la Universidad de California-Santa Bárbara y la Universidad de Purdue tecleaban en laptops dispuestas en mesas, sofás y la encimera de la cocina, mirando por encima del hombro y preguntando de vez en cuando a sus compañeros o profesores por ayuda.
La misión del hackathon: escribir un programa que pueda escanear millones de líneas de código abierto, identificar fallas de seguridad y arreglarlas, todo sin intervención humana. El éxito significaría ganar millones de dólares en un concurso de dos años patrocinado por DARPA, la Agencia de Proyectos de Investigación Avanzados de Defensa.
El concurso es una de las señales más claras hasta la fecha de que el gobierno ve las fallas en el software de código abierto como uno de los mayores riesgos de seguridad del país, y considera la inteligencia artificial vital para abordarlo.
Los programas gratuitos de código abierto, como el sistema operativo Linux, ayudan a ejecutar desde sitios web hasta estaciones de energía. El código no es inherentemente peor que el de programas propietarios de empresas como Microsoft y Oracle, pero no hay suficientes ingenieros capacitados para probarlo.
Como resultado, el código gratuito mal mantenido ha sido la raíz de algunas de las brechas de ciberseguridad más caras de todos los tiempos, incluida la catástrofe de Equifax en que expuso la información personal de la mitad de todos los estadounidenses. El incidente, que llevó al mayor acuerdo de brecha de datos hasta la fecha, le costó a la empresa más de mil millones de dólares en mejoras y penalizaciones.
Si las personas no pueden mantenerse al día con todo el código que se está entrelazando en cada sector industrial, DARPA espera que las máquinas puedan hacerlo.
“El objetivo es tener un ‘sistema de razonamiento cibernético’ de extremo a extremo que aproveche los grandes modelos de lenguaje para encontrar vulnerabilidades, probar que son vulnerabilidades y parchearlas”, explicó uno de los profesores asesores, Yan Shoshitaishvili de la Universidad Estatal de Arizona.
Para lograrlo, el equipo está lidiando con la realidad a menudo sombría detrás de las altas aspiraciones de la IA. Los estudiantes están haciendo cosas como imponer “controles de cordura” para detectar alucinaciones, verificando que los parches realmente solucionen los problemas que se supone deben resolver, y haciendo que dos sistemas de inteligencia artificial debatan entre sí sobre las mejores soluciones, con un tercer IA decidiendo el ganador.
“La IA es como un niño de 3 años con conocimiento infinito”, dijo Lukas Dresel, estudiante graduado de UC-Santa Bárbara y co-capitán del equipo. “Tienes que darle retroalimentación accionable.”
El equipo Shellphish es uno de unos 40 concursantes en una competencia conocida como AIxCC, por sus siglas en inglés de “desafío cibernético de inteligencia artificial”, y dirigida por DARPA, el brazo de investigación del Pentágono encargado de desarrollar armas secretas y defenderse de ellas.
“Queremos redefinir cómo aseguramos las bases de código ampliamente utilizadas y críticas”, dijo Andrew Carney, gerente de proyecto de DARPA para el concurso.
Aunque DARPA ayudó a dar vida a Internet para sobrevivir a fallos de comunicación, se ha vuelto dolorosamente evidente que la red también introdujo debilidades enormes.
Sin seguridad integrada, las vastas interconexiones permiten que cualquiera o cualquier cosa comience desde cualquier lugar y busque formas de ingresar a las máquinas que impulsan el mundo moderno. Una vez dentro, los usuarios pueden hacerse pasar por empleados o administradores de sistemas, robar secretos nacionales o comerciales, y cerrar el lugar o retenerlo como rehén a cambio de un rescate.
Los hackers están reclamando más víctimas que nunca: el número de brechas de datos reportadas al Centro de Quejas de Delitos en Internet del FBI se triplicó. Los agentes del gobierno se infiltran en plantas de energía y agua de naciones rivales. Las bandas criminales que se engordan con ganancias ilícitas no dudan en derribar hospitales y enviar a pacientes desesperados a otros lugares.
El software de código abierto, ya sea escrito por estudiantes o por genios visionarios, es casi tan ubicuo como el propio Internet, según algunas estimaciones, está anidando dentro del 90% del software comercial.
Como todo software, tiene errores, algunos de los cuales pueden ser explotados para tomar el control de una máquina.
Algunos grandes proyectos de código abierto son dirigidos por ejércitos de voluntarios del tamaño de Wikipedia y, en general, están en buen estado. Algunos tienen mantenedores que reciben subvenciones de grandes usuarios corporativos que lo convierten en un trabajo.
Y luego está todo lo demás, incluidos programas escritos como tareas escolares por autores que apenas los recuerdan.
“El código abierto siempre ha sido ‘Úselo bajo su propio riesgo’”, dijo Brian Behlendorf, quien inició la Open Source Security Foundation después de décadas de mantener un software de servidor pionero, Apache, y otros proyectos en la Apache Software Foundation.
“No es gratuito como en libertad de expresión, ni siquiera gratuito como en cerveza”, dijo. “Es gratuito como en cachorro, y necesita cuidados y alimentación.”
Los riesgos han sido subrayados recientemente por dos incidentes muy diferentes.
El primero fue una vulnerabilidad en un pequeño programa para hacer un seguimiento de la actividad del sistema, conocido como Log4j, utilizado por miles de desarrolladores de software e instalado en millones de máquinas.
Un usuario propuso agregar algo de código a Log4j, y el pequeño equipo de la Fundación Apache que mantenía Log4j lo aprobó. Un ingeniero chino vio que la sección agregada contenía una falla de diseño masiva que permitiría la toma de control del sistema, y señaló el problema al grupo Apache.
Mientras Apache trabajaba en un parche para solucionar el problema, un investigador no identificado descubrió los cambios pendientes y desarrolló una herramienta maliciosa para tomar el control de las computadoras que ejecutaban Log4j. Apache lanzó rápidamente el parche, dando inicio a una carrera entre miles de defensores y aquellos que intentaban explotar la falla antes de que se solucionara.
Muchas instancias de Log4j aún no se han reparado. La Agencia de Seguridad Nacional y otros advirtieron que los espías norcoreanos aún estaban irrumpiendo en los servidores web estadounidenses que ejecutan versiones antiguas.
La Junta de Revisión de Seguridad Cibernética de la Casa Blanca concluyó que solo una mejor codificación y auditorías exhaustivas podrían haber detenido la distribución de la falla de Log4j, y que los esfuerzos de código abierto como el de Apache “necesitarían apoyo financiero y experiencia sostenidos.”
La Agencia de Seguridad de Ciberseguridad y de la Infraestructura (CISA) del Departamento de Seguridad Nacional ha respondido con pequeñas subvenciones a start-ups y ha estado presionando a las empresas para que declaren qué hay dentro de su software. Pero esas son iniciativas de movimiento lento.
El recordatorio más reciente de la vulnerabilidad ocurrió en marzo. Fue entonces cuando un ingeniero de Microsoft rastreó un ligero aumento en el uso del procesador a herramientas de código abierto para Linux que acababan de actualizarse. Encontró que se había insertado una puerta trasera para espionaje por parte del mantenedor oficial de las herramientas, y dio la voz de alarma a tiempo para detener su envío en las versiones más populares de Linux.
En un escenario de pesadilla para los profesionales de la seguridad, el mantenedor anónimo había ganado el control del proyecto después de contribuir durante años, asistido por aliados secretos que presionaron al gerente anterior para ceder el control.
A medida que la seguridad de código abierto se convertía en una prioridad máxima para CISA y el establecimiento de seguridad nacional, OpenAI y Microsoft lanzaron ChatGPT y la inteligencia artificial generativa al mundo.
Al democratizar la programación, las nuevas herramientas permitieron a los no programadores crear software. La IA también ayudó a los programadores actuales, incluidos los hackers criminales que podían incorporar más rápidamente trucos para aprovechar vulnerabilidades y ofrecer señuelos más convincentes, como correos electrónicos que parecían provenir de contactos regulares con intereses compartidos.
La IA también está impulsando esfuerzos defensivos, como analizar montones de registros en busca de comportamientos inusuales y resumir incidentes de seguridad. También puede marcar errores de seguridad en programas a medida que se escriben.
Pero descubrir dónde están los agujeros en los programas de código abierto antes de que los atacantes los encuentren es el santo grial para DARPA y los concursantes de AIxxCC.
DARPA realizó un desafío cibernético en la convención de hackers Def Con de, donde los programas compitieron en un concurso de “captura de la bandera” para hackearse entre sí en un entorno artificial.
En el concurso de este año, los equipos utilizan sus programas mejorados con IA para digerir y mejorar millones de líneas de código real.
Shellphish es uno de los siete equipos que escribió artículos describiendo su enfoque lo suficientemente bien como para obtener un millón de dólares en fondos para los pasos que culminarán en las semifinales en agosto en Def Con, que atrajo 40 entradas. El ganador recibirá otros 2 millones de dólares en 2025.
Parte del primer millón de dólares de Shellphish se destinó a la casa listada en Airbnb en Brea, que alojó a hackers durante tres semanas en junio y otras dos en julio. Más se destinó a un enorme entorno de pruebas que utilizaba 5,000 núcleos de unidades centrales de procesamiento.
Shellphish no es un grupo aleatorio de hackers. Aunque fuertemente asociado con dos universidades públicas con poblaciones cambiantes, el equipo ha existido durante 20 años, y sus fundadores aún están involucrados.
El nativo italiano Giovanni Vigna estaba enseñando seguridad informática en UC-Santa Bárbara, incluidas técnicas para atacar y defender, cuando fundó un equipo de captura de bandera en 2003 para interesar más a los estudiantes y ampliar sus capacidades. Ganó la competencia Def Con en 2005, y un derivado del equipo organizó el concurso después durante un período de cuatro años.
A medida que sus estudiantes se graduaron y se extendieron a Arizona y otros lugares, algunos se mantuvieron involucrados o integraron a sus propios estudiantes.
Shellphish compitió en el Gran Desafío Cibernético de 2016, pero fue eliminado en las finales.
“Teníamos que todas estas herramientas geniales pero se nos acabó el tiempo para integrarlas”, recordó Shoshitaishvili. “‘No te dejes distraer por los nerds’ fue mi consejo número uno.” (Ser distraído por los nerds se refiere a distraer a alguien técnico con un problema interesante).
Central en el esfuerzo están las herramientas conocidas en seguridad como “fuzzers”. Estos disparan todo tipo de datos a un programa para ver cómo maneja lo inesperado.
Incluso los fuzzers mejorados no encontrarán los fallos más oscuros o puertas traseras deliberadas, admiten los miembros del equipo. En su mejor momento, el programa maestro de Shellphish y los otros podrán encontrar muchos errores menores, rápidamente, y deshacerse de ellos antes de que los hackers maliciosos puedan explotarlos.
“La IA podrá resolver cosas que a los humanos les llevarían meses,” dijo Dresel.
De acuerdo con los términos del concurso de DARPA, todos los finalistas deben lanzar sus programas como código abierto, para que los proveedores de software y los consumidores puedan ejecutarlos.
Yan comparó el avance esperado con hitos de seguridad como las actualizaciones forzadas de software y los “sandbox” del navegador que evitan que los programas web escapen del navegador y se ejecuten en otra parte del dispositivo del usuario.
La IA no podrá hacer que todo el software sea seguro, dijo. Pero le dará a los humanos más tiempo para intentarlo.
Después de una noche final casi sin dormir de depuración y arreglos de último minuto en pánico, Shellphish presentó su programa al plazo de las 9 a.m. En unas pocas semanas, en el próximo Def Con en Las Vegas, sabrán si son finalistas. Ganen o pierdan, su código asistido por IA estará disponible para que otros lo construyan, mejorando la seguridad para todos.
(c) 2024 , The Washington Post