El hacker Rahul Sasi construyó el inicio de lo que él espera sea un escáner de vulnerabilidades que piense como un ser humano.

El ambicioso proyecto es el trabajo en conjunto de Sasi y su equipo de seis personas en CloudSek y contiene código abierto con la esperanza de que la seguridad de las masas ayude a construir una caja de pruebas similar al pensamiento humano.

Las metas parecen ser bastante simples: combinar la competencia de usuarios con experiencia en la red y la intuición de un atacante para crear una herramienta automatizada.

Esto podría permitirle navegar naturalmente en la web e identificar las partes de un sitio que un atacante tendría como objetivo para un retorno más rápido.

En práctica se requiere que la herramienta sea capaz de seguir instrucciones de uso dinámico para que entienda frases como “regístrame”, “vamos” y todo los que signifique registro de una cuenta.

Sasi reveló el progreso de esta arma de ataque informático, siendo la primera de su clase, en el evento de seguridad Nullcon en Goa, India y demostró exitosamente en un sitio al azar la forma en que la herramienta puede buscar y registrar una cuenta legítima, así como localizar las páginas de perfiles débiles.

Sasi dice que los escáners de seguridad son ciegos ante muchas vulnerabilidades como gusanos de objetos directos, donde usuarios con números de ID en direcciones URL pueden ser manipulados para meterse a cuentas, que es uno de los errores más comunes y consume mucho tiempo para localizarlo de forma manual.

La herramienta se basa en el aprendizaje de la máquina y el procesamiento del lenguaje natural utilizando modelos de espacio de vectores para convertir cadenas de texto a números. Los clasificadores de aprendizaje hacen a la máquina ingenua pero capaz de mejorar su formación.