コンピュータが誕生して以来、コンピュータ システムを実行する人々とそれを攻撃する人々の間で冷戦が続いています。
そして、少なくとも今までは、両者は決して出会うことはないだろう。
ワシントン D.C. で開催されたハッカーコンベンション「シュムーコン」で講演した国防高等研究計画局 (DARPA) のプロジェクトマネージャー、ピーター・ザトコ氏は、サイバーセキュリティソリューションを見つけるために「小規模組織、ブティック、ハッカースペース、メーカーラボ」のスキルを活用する新しいスキーム、サイバーファストトラックを発表した。
Zatko氏は、ハッカー界隈では「Mudge」というハンドルネーム、そしてL0phtとCult of the Dead Cowという集団のかつてのメンバーとして最もよく知られている。彼は伝説的なパスワードクラッキングツールL0phtCrackを開発し、1995年にバッファオーバーフローハッキングをいち早く指摘した一人である。1998年には、上院委員会でハッカーは30分以内にインターネットをダウンさせることができると発言したことで有名である。
政府契約の性質上、国防総省が実施するサイバーセキュリティプロジェクトは通常、数百万ドル規模のプロジェクトとなり、完了までに何年もかかることが想定されています。ザトコ氏は、それ自体に問題はないが、より機敏な思考が必要だと主張しています。
ザトコ氏は、マルウェアの作成容易さとそれに対する防御ソリューションの「非対称性」について説明した。マルウェアは通常125行のコンピュータコードで構成されており、これは1985年以来変わっていないという。しかし、最新の統合脅威管理ソリューションは約1,000万行のコードで構成されており、1985年のマルウェアと同程度の規模から増加している。
コードの各行に 1 ドルの価値を付けると、防御ソリューションの作成はますます高価で複雑になり、時間がかかるようになっている一方で、マルウェアの作成は依然として簡単なままであることがわかります。
ザトコ氏の解決策は、ハッカーコミュニティ内で、通常はブラックハットやホワイトハットのコンベンションで研究成果を発表するものの、DARPAの監視を逃れている人々を活用することだ。彼は、DARPAの短期固定価格契約で雇用されているチームや個人を活用し、数年ではなく数ヶ月で成果を出せるようにしたいと考えている。
「ダークサイドに転向したのは、彼らに必要だったからだ」とザッコ氏は基調講演で述べ、DARPAでの勤務に触れた後、「政府に修正と変革を求めている」と付け加えた。
それでそれはうまくいくでしょうか?
この質問に答えるには、ハッカーのモチベーションを理解する必要があります。それは、好奇心、遊び心、そしてコミュニティです。ソフトウェアやハードウェアの秘密を発見すること自体が大きな報酬となりますが、その秘密を他の人と共有することで、仲間内での地位が向上します。
ハッカーは長年にわたり様々な批判にさらされてきましたが、ハッカーの動機が金銭にあると主張する人はほとんどいません。そのような考えはフィクションに限られています。
しかし、ザトコ氏がかつての同志たちを鼓舞するために利用しているのは、単なる金銭的利益ではない。彼は「ハッカーインキュベーター」の創設について語り、発見されたいかなるイノベーションについても国防総省が商業化権を要求することはないと明言した。
Zatkoは本質的に、研究者に成果報酬を与えるのではなく、彼らを後援することを望んでいます。これは、ハッカーの典型的な願望、つまり、好きなことをしながら誰かに生活費を稼いでもらうという考え方に近いものです。そしていずれにせよ、プロセスの最終段階では、関係するハッカーまたはチームは、その仕事に対して得られる限りの報酬を自由に求めることができます。
ザトコはハッカーコミュニティの膨大な知力と創造力を搾取したいだけであり、元メンバーとして、コミュニティの仕組みを熟知している。彼の計画が実際に実行されるまではまだ数ヶ月かかるものの、私たち全員のセキュリティを向上させる結果をもたらす可能性を示唆している。
Zatko 氏の基調講演は、以下の YouTube でご覧いただけます。
Keir Thomasは、前世紀からコンピューティングに関する独自の見解を発表しており、近年ではベストセラー書籍を数冊執筆しています。詳しくはhttp://keirthomas.comをご覧ください。Twitterのフィードは@keirthomasです。
