据《连线》(Wired)杂志报道,去年年底,互联网基础设施公司Cloudflare的安全工程师David Haynes发现自己正盯着一张奇怪的图像。“那纯粹是胡言乱语,”他说。“一大堆灰黑色的像素,由机器制造出来的。”他拒绝分享图片,称这将是一个安全风险。Haynes的谨慎是可以理解的。这张图片是由一个名为Mayhem的工具创建的,该工具可以探测软件以发现未知的安全漏洞,由卡内基梅隆大学的衍生创企ForAllSecure *** 。
Haynes一直在Cloudflare软件上进行测试,该软件可以调整图片的大小以加快网站的速度,并向它提供了几张照片样本。Mayhem将它们变异成了一些不正常的的图片,通过触发一个不被注意到的bug,使照片处理软件崩溃,这个漏洞可能会给付费给Cloudflare以保持网站正常运行的客户带来问题。
此后,Cloudflare将Mayhem作为其安全工具的标准配置。美国空军、海军和陆军也使用了它。上个月,五角大楼授予ForAllSecure一份4500万美元的合同,让Mayhem在整个美军中推广使用。该部门有大量的Bug可供查找。2018年的一份 *** 报告发现,国防部在2012年至2017年期间测试的几乎所有武器系统都存在严重的软件漏洞。
Mayhem还不够精密,不足以完全取代人类漏洞查找员的工作,他们利用软件设计知识、代码阅读技巧、创造力和直觉来寻找漏洞。但ForAllSecure联合创始人兼CEO David Brumley表示,该工具可以帮助人类专家完成更多的工作。世界上的软件有更多的安全漏洞,专家们没有时间去发现,而每分钟都有更多的漏洞出现。“安全并不在于是否安全或不安全,而在于你的行动速度有多快。”Brumley说。
Mayhem起源于2016年在拉斯维加斯一家赌场举行的一场不寻常的黑客大赛。数以百计的人到场观看由五角大楼的研究机构Darpa主办的 *** 大挑战赛。但舞台上没有一个人,只有七台电脑服务器。每台服务器上都有一个机器人,它试图发现并利用其他服务器的漏洞,同时也发现并修补自己的漏洞。8个小时后,由Brumley所带领的卡内基梅隆大学安全实验室团队 *** 的 “Mayhem “获得了200万美元的更高奖项。
目前仍是卡内基梅隆大学教授的Brumley说,这段经历让他相信,他的实验室创造的东西在现实世界中可以派上用场。他抛开了团队的机器人的进攻能力,认为防御更重要,并着手将其商业化。“ *** 安全挑战赛( Cyber Grand Challenge)表明,完全自主安全是可能的。”他说。“计算机可以做得相当不错。”
以色列等国 *** 都提出了合同,但ForAllSecure与美国 *** 签约。它得到了国防创新部门的合同,这是五角大楼的一个小组,试图将新技术快速引入美军。ForAllSecure受到了挑战,通过寻找美军使用的军用变体商用客机的控制软件中的漏洞来证明Mayhem的能力。在几分钟内,这个自动黑客就发现了一个漏洞,该漏洞随后被飞机制造商验证并修复了。
Mayhem发现的其他漏洞还包括今年早些时候在数百万台 *** 设备中使用的OpenWRT软件中发现的一个漏洞。去年秋天,该公司的两名实习生从Netflix的漏洞赏金计划中获得了一笔奖金,因为他们利用Mayhem发现了软件中的一个漏洞,该软件可以让人们将视频从手机发送到电视上。
Brumley表示,汽车和航空航天公司对这个工具的兴趣特别浓厚。汽车和飞机对软件的依赖性越来越强,而这些软件需要多年的可靠运行,而且很少更新。
Mayhem只针对基于Linux操作系统的程序,发现漏洞的方式有两种,一种是随机的,另一种更有针对性。之一种称为模糊测试,它涉及到用随机生成的输入(如命令或照片)轰炸目标软件,并观察是否有触发可利用的漏洞。第二种被称为符号执行,涉及到创建一个目标软件的简化数学表示。可以对这个被简化的替身进行分析,以确定真实目标中的潜在弱点。
近几年来,模糊测试工具在计算机安全领域的应用越来越广泛。去年,谷歌发布了一个模糊测试工具,并表示已经在其Chrome浏览器中发现了16000多个Bug。但Cloudflare公司的Haynes表示,该技术在行业内仍未得到普遍使用,因为模糊测试工具通常需要对每个目标程序进行太多仔细的调整。他说,ForAllSecure精心打造的Mayhem更具适应性,让Cloudflare可以更常规地使用模糊测试。Haynes说,符号执行可以找到更复杂的Bug,之前主要是在研究实验室中使用。
亚利桑那州立大学教授Ruoyu Wang希望Mayhem只是计算机安全领域更自动化的未来的开始,但他说,这将需要bug查找机器人与人类进行更多的合作。
Mayhem表明,自动化可以做有用的工作,Wang说,但现有的自动寻找漏洞的机器人在复杂的互联网服务或软件包中不能起到多大的作用。更好的软件还远远不能像人类那样聪明到理解程序的意图和功能。Mayhem比任何人类更快地尝试很多不同的东西的能力都无法替代。“很多自动查找漏洞的难点问题,现在还远远没有解决。”Wang说。
Wang曾是一个名为Mechanical Phish的团队的一员,该团队在2016年Darpa锦标赛上获得了第三名。他现在正在从事该机构的一个名为CHESS的新研究项目,试图制造出更强大的Bug查找软件。“现在,更先进的自动化不知道什么时候会遇到障碍,”Wang说。“它应该意识到这一点,并向人类咨询。”
(稿源:cnBeta,封面源自 *** 。)
由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike...
近期,QNAP发布了几项安全公告,其中一项针对严重的安全问题,该问题允许在易受攻击的QVR系统上远程执行任意命令,该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码,专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588,严重程度得分为...
7月24日爆出的Clubhouse漏洞和Facebook用户资料的数据被用来编制成一个38亿条的巨量数据库,暗网售价10万美元,不仅如此,如果买家资金紧张,卖家还愿意分割它。CyberNews研究团队发现了一个9月4日的黑客论坛帖子,该帖子提供了这些数据。发帖人称,这些记录包括姓名、电话号码、Clu...
就在我们了解到国家支持的黑客已经开始研究上周震惊网络安全界的Log4j漏洞问题时,其他研究人员发出了一个令人不安的发展信号。Log4j黑客,也被称为Log4Shell已经有一个补丁,已经可以部署到企业。但事实证明,这个补丁玩起了“套娃”:它解决原有问题的同时又产生新的安全问题,且可以被外部利用。因此...
Google发布了一份新的勒索软件报告,以色列是在此期间最大的样本提交者。这家科技巨头委托网络安全公司VirusTotal进行分析,这需要审查来自140个国家的8000万个勒索软件样本。根据该报告,以色列、韩国、越南、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国等国家是根据VirusTotal审查的...
时间已正式迈入 2022 年,分析公司 Chainalysis 表示在过去一年中与加密货币有关的犯罪达到了历史最高水平,非法地址获得了惊人的 140 亿美元。收到的绝大部分资金是通过诈骗、盗窃和暗网市场获得的,而另一个不断增长的被盗资金来源则是赎金。 非法资金从 2020 年的 78 亿美...