《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > 業(yè)界動態(tài) > 揭秘:美國防部的自動化漏洞挖掘工具

揭秘:美國防部的自動化漏洞挖掘工具

2020-06-05
來源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 漏洞挖掘

2019年末,互聯(lián)網(wǎng)基礎(chǔ)設(shè)施廠商Cloudflare公司安全工程師David Haynes盯著一張怪異的圖片內(nèi)心無法平靜?!斑@簡直就是在亂搞,”他回憶道“機器生成了一大堆灰色與黑色的像素塊。”他拒絕公開相關(guān)圖片,表示貿(mào)然發(fā)布可能引發(fā)安全風險。

Haynes的謹慎自然有其道理。這幅圖像來自一款名為Mayhem的工具,它的職責就是檢測軟件并發(fā)現(xiàn)其中存在的潛在安全漏洞。這款工具出自卡耐基梅隆大學之手,目前項目歸屬于初創(chuàng)企業(yè)ForAllSecure。Haynes一直在Cloudware軟件上測試這款工具去不斷地調(diào)整圖像尺寸以加快網(wǎng)站運行速度,并提供更多訓練用的示例照片。Maythem通過觸發(fā)一項潛在漏洞導致圖像處理軟件崩潰,從而使這些示例圖片突變,造成圖片異常。這一潛在漏洞令那些購買Cloudflare產(chǎn)品以保障網(wǎng)站平穩(wěn)運行的用戶大為惱火。


Mayhem的應(yīng)用領(lǐng)域

在此之后,Mayhem已經(jīng)成為Cloudflare標準化安全檢測工具的一部分,就連美國空軍、海軍與陸軍也開始使用這款工具。上個月,五角大樓與ForAllSecure公司簽訂了一份價值4500萬美元的合同,旨在擴大該工具在美軍各機構(gòu)中的使用范圍。很明顯,官方需要一款能夠發(fā)現(xiàn)大量潛在漏洞的工具。2018年發(fā)布的一份政府報告指出,幾乎所有美國國防部在2012-2017年檢測的武器系統(tǒng)當中都存在著嚴重的軟件漏洞。

Mayhem還不夠成熟,無法全面替代人類調(diào)試員的職位——這些專業(yè)人士能夠?qū)④浖O(shè)計知識、代碼閱讀能力、創(chuàng)造力以及直覺結(jié)合起來,高效發(fā)現(xiàn)開發(fā)缺陷。但ForAllSeucre公司聯(lián)合創(chuàng)始人兼CEO David Brumley表示,該工具的定位就是要協(xié)助人類專家進一步提高效率。人類的時間與精力終究有限,而世界上的軟件安全漏洞一直在不斷增加,每一分鐘都會有更多漏洞暴露在世人面前。

Brumely表示,“安全性的重點并非在于‘安全’,而在于‘不安全’,這與發(fā)現(xiàn)漏洞、采取措施的速度息息相關(guān)?!?/p>

Mayhem源自2016年在拉斯維加斯賭場宴會廳舉行的一場不同尋常的黑客競賽。舞臺上空無一人,只有七臺正在運轉(zhuǎn)的計算機服務(wù)器。每位參賽選手托管一個軟件機器人,由該機器人嘗試發(fā)現(xiàn)并利用對方服務(wù)器當中的漏洞,同時努力修復自身服務(wù)器中的軟件缺陷。在8個小時的角逐之后,來自卡耐基梅隆大學安全實驗室的Brumley團隊憑借Mayhem拿下了200萬美元的最高獎金。他們當時使用的那臺服務(wù)器也被搬進了史密森尼博物館。

目前仍擔任卡耐基梅隆大學教授的Brumley指出,這樣的經(jīng)歷進一步堅定了他的信心,讓他意識到實驗室中的成果完全能夠在現(xiàn)實世界中發(fā)揮重大作用。他暫時擱置了深挖這款機器人的攻擊能力,轉(zhuǎn)而著力提升其安全防御機制并推動成果的商業(yè)化轉(zhuǎn)型。他解釋道,“這場網(wǎng)絡(luò)安全挑戰(zhàn)賽證明,完全自主的安全系統(tǒng)并非不可能實現(xiàn)。計算機完全可以帶來良好的防御表現(xiàn)?!?/p>

中國與以色列政府也在這方面投入了不少精力。雙方都向ForAllSecure伸出了橄欖枝,但該公司最終決定與美國政府合作。通過與五角大樓下轄國防部創(chuàng)新部門簽訂的合同,Mayhem代表的這一項新技術(shù)將被快速引入美國軍方。

ForAllSecure公司被質(zhì)疑要求證明Mayhem的能力,而Mayhem不負眾望,只用了幾分鐘的時間,就自動從美國軍用的軍轉(zhuǎn)民商用客機控制軟件中找到了一項安全漏洞。飛機制造商隨后對問題進行了驗證與修復。

Mayhem發(fā)現(xiàn)的漏洞當然不止于此:今年早些時候,它就在成千上萬網(wǎng)絡(luò)設(shè)備普遍使用的OpenWRT軟件中發(fā)現(xiàn)了一項漏洞。去年秋季,該公司的兩名實習生利用Mayhem找出了允許用戶將手機視頻投映至電視的軟件漏洞,并借此贏得Netflix方面提供的漏洞獎金。

Brumley指出,汽車及航空航天企業(yè)對于這款工具的表現(xiàn)出強烈的關(guān)注。如今,汽車與飛機對軟件的需求與日俱增,這種軟件需要以安全可靠,穩(wěn)定的方式運行數(shù)年,最好極少更新。


Mayhem的漏洞識別模式

Mayhem目前僅適用于基于Linux操作系統(tǒng)的程序,且提供兩種漏洞識別模式:廣泛掃描與針對性掃描。

所謂廣泛掃描,使用的是一項名為“模糊測試”的技術(shù)。它將會隨機生成指令或圖片,批量投放至目標軟件,并識別是否存在可以引發(fā)崩潰的觸發(fā)條件。第二種方法也被稱為符號化執(zhí)行測試,相當于為目標軟件創(chuàng)建一項簡化的數(shù)學表象模型。通過對這個雙重簡化模型的分析,即可識別出實際目標中的潛在弱點。ForAllSecure的聯(lián)合創(chuàng)始人兼CEO,Brumley表示,在識別軟件漏洞方面,“計算機可以做得很好。”

近年來,模糊測試已經(jīng)在計算機安全領(lǐng)域得到愈發(fā)廣泛的應(yīng)用。去年,谷歌發(fā)布了一款模糊測試工具,稱其在Chrome瀏覽器當中發(fā)現(xiàn)的漏洞超過了16000個。但Cloudflare公司的Haynes表示,這項技術(shù)在行業(yè)中的普及度仍然不高,因為模糊測試工具往往需要針對每個目標程序進行非常深入的調(diào)整。他解釋道,F(xiàn)orAllSecure的優(yōu)勢在于精心設(shè)計出Mayhem這樣一款工具,由此帶來的強大適應(yīng)性能夠幫助Cloudflare真正高效且常規(guī)地推廣模糊測試。Haynes還強調(diào),符號執(zhí)行比較擅長發(fā)現(xiàn)更復雜的漏洞,但以往主要在研究實驗室當中使用。

亞利桑那州立大學教授Ruoyu Wang希望Mayhem的出現(xiàn),能夠成為高水平計算機安全自動化未來的開端。但他也承認,漏洞識別仍是一項需要由人類與機器人進行全面協(xié)作的艱難工作。

在Wang看來,Mayhem證明了自動化方案完全能夠在安全領(lǐng)域有所作為,但現(xiàn)有的自動漏洞查找工具在復雜的互聯(lián)網(wǎng)服務(wù)或軟件包領(lǐng)域仍然作用有限。即使是最強大的現(xiàn)有軟件也遠遠不夠智能,無法像人們那樣真正理解程序的意圖與功能。但在另一方面,Mayhem這種快速進行多次檢測的能力則是人類所不具備的。Wang表示,“自動化方案確實能找到很多無法單靠人力發(fā)現(xiàn)的安全漏洞?!?/p>

Wang自己曾是Mechanical Phish團隊中的一員,這支安全小組曾在2016年的DARPA安全錦標賽(Mayhem也正是在這場比賽中誕生)中奪得第三名。現(xiàn)在,他正在研究機構(gòu)CHESS內(nèi)進行一項新的計劃,旨在開發(fā)出功能更強大的漏洞查找軟件。按照計劃,該軟件將在人類的協(xié)助下解決現(xiàn)有機器無法處理的難題。Wang總結(jié)道,“目前,最先進的自動化技術(shù)仍有可能隨時遭遇障礙。新的系統(tǒng)應(yīng)該能夠意識到這種障礙的存在,并隨時向人類咨詢。”Mayhem雖然能夠自主查找漏洞,但在后續(xù)發(fā)展當中,它更應(yīng)該成為整體安全團隊中的一員——而非一切。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。