安全動態(tài)

五角大樓使用創(chuàng)企研發(fā)的Mayhem工具搜索軟件Bug

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-06-04    瀏覽次數(shù):
 

信息來源:cnbeta

據(jù)《連線》(Wired)雜志報(bào)道,去年年底,互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司Cloudflare的安全工程師David Haynes發(fā)現(xiàn)自己正盯著一張奇怪的圖像?!澳羌兇馐呛詠y語,”他說。“一大堆灰黑色的像素,由機(jī)器制造出來的?!彼芙^分享圖片,稱這將是一個安全風(fēng)險(xiǎn)。Haynes的謹(jǐn)慎是可以理解的。這張圖片是由一個名為Mayhem的工具創(chuàng)建的,該工具可以探測軟件以發(fā)現(xiàn)未知的安全漏洞,由卡內(nèi)基梅隆大學(xué)的衍生創(chuàng)企ForAllSecure制作。

Haynes一直在Cloudflare軟件上進(jìn)行測試,該軟件可以調(diào)整圖片的大小以加快網(wǎng)站的速度,并向它提供了幾張照片樣本。Mayhem將它們變異成了一些不正常的的圖片,通過觸發(fā)一個不被注意到的bug,使照片處理軟件崩潰,這個漏洞可能會給付費(fèi)給Cloudflare以保持網(wǎng)站正常運(yùn)行的客戶帶來問題。


此后,Cloudflare將Mayhem作為其安全工具的標(biāo)準(zhǔn)配置。美國空軍、海軍和陸軍也使用了它。上個月,五角大樓授予ForAllSecure一份4500萬美元的合同,讓Mayhem在整個美軍中推廣使用。該部門有大量的Bug可供查找。2018年的一份政府報(bào)告發(fā)現(xiàn),國防部在2012年至2017年期間測試的幾乎所有武器系統(tǒng)都存在嚴(yán)重的軟件漏洞。

Mayhem還不夠精密,不足以完全取代人類漏洞查找員的工作,他們利用軟件設(shè)計(jì)知識、代碼閱讀技巧、創(chuàng)造力和直覺來尋找漏洞。但ForAllSecure聯(lián)合創(chuàng)始人兼CEO David Brumley表示,該工具可以幫助人類專家完成更多的工作。世界上的軟件有更多的安全漏洞,專家們沒有時間去發(fā)現(xiàn),而每分鐘都有更多的漏洞出現(xiàn)?!鞍踩⒉辉谟谑欠癜踩虿话踩?,而在于你的行動速度有多快?!盉rumley說。

MzIxMzY5Mg.jpeg

Mayhem起源于2016年在拉斯維加斯一家賭場舉行的一場不尋常的黑客大賽。數(shù)以百計(jì)的人到場觀看由五角大樓的研究機(jī)構(gòu)Darpa主辦的網(wǎng)絡(luò)大挑戰(zhàn)賽。但舞臺上沒有一個人,只有七臺電腦服務(wù)器。每臺服務(wù)器上都有一個機(jī)器人,它試圖發(fā)現(xiàn)并利用其他服務(wù)器的漏洞,同時也發(fā)現(xiàn)并修補(bǔ)自己的漏洞。8個小時后,由Brumley所帶領(lǐng)的卡內(nèi)基梅隆大學(xué)安全實(shí)驗(yàn)室團(tuán)隊(duì)制作的 "Mayhem "獲得了200萬美元的最高獎項(xiàng)。

目前仍是卡內(nèi)基梅隆大學(xué)教授的Brumley說,這段經(jīng)歷讓他相信,他的實(shí)驗(yàn)室創(chuàng)造的東西在現(xiàn)實(shí)世界中可以派上用場。他拋開了團(tuán)隊(duì)的機(jī)器人的進(jìn)攻能力,認(rèn)為防御更重要,并著手將其商業(yè)化?!熬W(wǎng)絡(luò)安全挑戰(zhàn)賽( Cyber Grand Challenge)表明,完全自主安全是可能的?!彼f?!坝?jì)算機(jī)可以做得相當(dāng)不錯。”

MzIxMzY3OA.jpeg

以色列等國政府都提出了合同,但ForAllSecure與美國政府簽約。它得到了國防創(chuàng)新部門的合同,這是五角大樓的一個小組,試圖將新技術(shù)快速引入美軍。ForAllSecure受到了挑戰(zhàn),通過尋找美軍使用的軍用變體商用客機(jī)的控制軟件中的漏洞來證明Mayhem的能力。在幾分鐘內(nèi),這個自動黑客就發(fā)現(xiàn)了一個漏洞,該漏洞隨后被飛機(jī)制造商驗(yàn)證并修復(fù)了。

Mayhem發(fā)現(xiàn)的其他漏洞還包括今年早些時候在數(shù)百萬臺網(wǎng)絡(luò)設(shè)備中使用的OpenWRT軟件中發(fā)現(xiàn)的一個漏洞。去年秋天,該公司的兩名實(shí)習(xí)生從Netflix的漏洞賞金計(jì)劃中獲得了一筆獎金,因?yàn)樗麄兝肕ayhem發(fā)現(xiàn)了軟件中的一個漏洞,該軟件可以讓人們將視頻從手機(jī)發(fā)送到電視上。

Brumley表示,汽車和航空航天公司對這個工具的興趣特別濃厚。汽車和飛機(jī)對軟件的依賴性越來越強(qiáng),而這些軟件需要多年的可靠運(yùn)行,而且很少更新。

Mayhem只針對基于Linux操作系統(tǒng)的程序,發(fā)現(xiàn)漏洞的方式有兩種,一種是隨機(jī)的,另一種更有針對性。第一種稱為模糊測試,它涉及到用隨機(jī)生成的輸入(如命令或照片)轟炸目標(biāo)軟件,并觀察是否有觸發(fā)可利用的漏洞。第二種被稱為符號執(zhí)行,涉及到創(chuàng)建一個目標(biāo)軟件的簡化數(shù)學(xué)表示??梢詫@個被簡化的替身進(jìn)行分析,以確定真實(shí)目標(biāo)中的潛在弱點(diǎn)。

近幾年來,模糊測試工具在計(jì)算機(jī)安全領(lǐng)域的應(yīng)用越來越廣泛。去年,谷歌發(fā)布了一個模糊測試工具,并表示已經(jīng)在其Chrome瀏覽器中發(fā)現(xiàn)了16000多個Bug。但Cloudflare公司的Haynes表示,該技術(shù)在行業(yè)內(nèi)仍未得到普遍使用,因?yàn)槟:郎y試工具通常需要對每個目標(biāo)程序進(jìn)行太多仔細(xì)的調(diào)整。他說,F(xiàn)orAllSecure精心打造的Mayhem更具適應(yīng)性,讓Cloudflare可以更常規(guī)地使用模糊測試。Haynes說,符號執(zhí)行可以找到更復(fù)雜的Bug,之前主要是在研究實(shí)驗(yàn)室中使用。

亞利桑那州立大學(xué)教授Ruoyu Wang希望Mayhem只是計(jì)算機(jī)安全領(lǐng)域更自動化的未來的開始,但他說,這將需要bug查找機(jī)器人與人類進(jìn)行更多的合作。

Mayhem表明,自動化可以做有用的工作,Wang說,但現(xiàn)有的自動尋找漏洞的機(jī)器人在復(fù)雜的互聯(lián)網(wǎng)服務(wù)或軟件包中不能起到多大的作用。最好的軟件還遠(yuǎn)遠(yuǎn)不能像人類那樣聰明到理解程序的意圖和功能。Mayhem比任何人類更快地嘗試很多不同的東西的能力都無法替代?!昂芏嘧詣硬檎衣┒吹碾y點(diǎn)問題,現(xiàn)在還遠(yuǎn)遠(yuǎn)沒有解決。”Wang說。

Wang曾是一個名為Mechanical Phish的團(tuán)隊(duì)的一員,該團(tuán)隊(duì)在2016年Darpa錦標(biāo)賽上獲得了第三名。他現(xiàn)在正在從事該機(jī)構(gòu)的一個名為CHESS的新研究項(xiàng)目,試圖制造出更強(qiáng)大的Bug查找軟件。“現(xiàn)在,最先進(jìn)的自動化不知道什么時候會遇到障礙,”Wang說?!八鼞?yīng)該意識到這一點(diǎn),并向人類咨詢。”


 
 

上一篇:2020年06月03日 聚銘安全速遞

下一篇:SpaceX火箭發(fā)射成功,勒索團(tuán)伙入侵其IT供應(yīng)商內(nèi)網(wǎng)并留下祝賀信息