美國軍方研究人員發現了一種更有效的漏洞挖掘過程

2020-09-03 閒話網空

在本月的第29屆USENIX安全研討會上,美國軍方的一篇論文,《The Industrial Age of Hacking》(黑客攻擊的工業時代)對軟體漏洞的研究方法進行了探索性創新。研究表明,黑客社區中存在一種認知偏見,即在沒有任何成功跡象的情況下,選擇一款軟體並投入大量人力資源來查找該軟體中的漏洞。作者將這種策略命名為深度優先搜索,並提出了另一種方法:廣度優先搜索。在&34;搜索中,在投入額外的時間和精力研究任意特定的目標之前,人類只需執行最小的工作來實現對一系列目標的自動化分析。研究者提出了一個可重複的人類研究,利用不同技能的團隊,同時最大限度地使用自動化。其目標是一個能夠有效發現bug的過程;對團隊成員的成長、培訓和有效利用有清晰的計劃;並支持可衡量的、漸進的進展。最後推出了一種裝配線流程,極大改進了曾經複雜的手工工作。試驗結果證明了廣度優先的方法提高了團隊的效率。


美國政府的一項研究表明,有證據表明,有一種方法可以更有效地查找軟體漏洞。

來自美國國家安全局、網絡司令部、海軍、空軍和陸軍的軍事研究人員在本月發表的一項新研究中指出,所有專業水平的安全研究人員在改進後的自動化分析中能更好地在調查中分配人力資源。當研究人員更自然地傾向於瞄準一個給定的軟體片段,試圖找出缺陷時,這與以往通常採取的方法不同。

他們在論文中寫道:&34;

美國國家安全局的軟體開發人員Jared Ziegler在一次採訪中告訴CyberScoop網,這種現狀被研究人員稱為&34;的方法,給有經驗的研究人員帶來了更多的負擔,而新手則會在混亂中迷失。

&34;他們被拉向幾十個不同的方向,&34;很明顯,這對我們來說是行不通的。&34;廣度優先&34;廣度優先&34;(廣度優先)鼓勵學徒級別的黑客在發現駕馭一個特定目標需要大量時間成本時放棄。&39;兔子洞&34;研究人員寫道。&34;

黑客們領先於五角大樓

研究人員希望這些結果將鼓勵所有部門的漏洞研究團隊,而不僅僅是那些在軍隊的團隊,重新評估他們目前的方法是否能產生最好的結果。但是,這項研究可能是一個特別有吸引力的解決方案,因為受挫的美國軍事人員傳統上每隔幾年就更換一個位置,即使是在網絡司令部的漏洞研究團隊。

研究人員證實,採用深度優先的方法可能會讓美國軍方在發現可利用的漏洞方面落後。

&34;由於對員工進行所有重要技能的培訓開銷巨大……幾乎沒有時間讓他們在工作中產生有意義的影響。&34;這是常態,&34;如果有人是新手,通常他們只能做其他工作,或者做練習題,比如(奪旗比賽),直到他們開始積累大量技能來做這些事情。"

除了發現更多的漏洞之外,研究人員發現寬度優先的方法讓志願者黑客對他們的工作更滿意。在實驗後的調查中,他們得出了如上結論。

後記

有專門研究漏洞挖掘的學者指出,漏洞挖掘是在二進位程序分析領域一個經久不衰的關鍵問題。現有的自動化漏洞挖掘技術多種多樣,但這些技術都有一定的不足,主要在於分析速度慢、程序狀態空間覆蓋率低、自動化程度差。這些不足之處影響了自動化漏洞挖掘技術在現實中的廣泛應用。因此,漏洞挖掘在可見的未來仍將是二進位程序分析領域的重點和難點。

目前的改進方法仍然是將自動程序分析的結果、抽象信息及人類提供的先驗知識有機結合來提高漏洞挖掘的效率。人工智慧在漏洞挖掘上會不會有創新應用,眼下尚未看到有價值的成果。美軍方人員的研究成果也表明,人工為主自動化分析為輔的路徑。

相關焦點

  • F5安全研究院發現新型GoLang惡意軟體借漏洞挖掘加密貨幣
    近日,F5安全研究院(F5 Labs)的研究人員公布了近期發現的新型GoLang加密貨幣挖掘惡意軟體。該惡意軟體針對基於Linux的伺服器發起攻擊以挖掘XMR(門羅幣)。研究人員估算,已有數千臺機器受到殭屍網絡感染。
  • 研究人員發現太陽能淨水比煮沸更有效
    科學家們發現了一種新的基於太陽能的淨水方法,這種方法在減少汙染物方面比單純燒水要有效得多。這種新方法來自羅切斯特大學的研究人員,利用的是太陽光。該團隊表示,陽光是一種任何人都能獲得的資源,可以用來蒸發和淨化受汙染的水,效率大於100%。該方法利用飛秒雷射脈衝,將普通鋁板的表面蝕刻成超吸水、超吸能的材料。
  • 「藍色知更鳥」正在挖掘加密貨幣
    「藍色知更鳥」正在挖掘加密貨幣 美國一家網絡安全公司的研究人員發現了一種新型的威脅,此威脅的終極目的是挖掘加密貨幣。 作者:超級盾來源:超級盾訂閱號|2020-05-14 09:39 美國一家網絡安全公司的研究人員發現了一種新型的威脅
  • 安全研究人員意外發現Win 7和Win Server 2008零日漏洞
    日前法國安全研究人員在進行測試時意外發現已經停止支持的Windows 7以及Windows Server 2008 存在漏洞。 攻擊者只需要使用非常輕鬆地步驟即可將特製的.DLL文件提權,而且這裡提的不是管理員權限而是系統級別權限。
  • 美國研究人員發現新型電解質材料 或實現更高效的鋰硫電池
    (圖片來源:美國能源部阿貢國家實驗室) 其中一種電池為鋰硫電池,與傳統的石墨/金屬氧化物鋰離子電池相比,此種電池能量密度更高、成本更低。
  • 研究人員發現一種有著心形尾骨的恐龍
    研究人員發現一種有著心形尾骨的恐龍2019-02-15 12:02出處/作者:cnBeta.COM整合編輯:暮雪城責任編輯:xuxiaochun 據外媒報導,一種新的獨特恐龍正在幫助科學家將他們所謂的「四維連接點」放在一起。
  • 比「幽靈」和「熔毀」更嚴重 英特爾晶片曝出MDS漏洞
    安全永無止境,漏洞每天不斷曝出。近日,有學術研究人員披露英特爾晶片中存在一類新漏洞(MDS)。受該漏洞的影響,數百萬臺採用英特爾處理器的計算機受到影響,涵蓋使用相關晶片的蘋果設備。據悉,這些漏洞可能會洩露潛在的敏感數據。
  • 研究人員詳解蘋果致命漏洞
    12月1日,來自谷歌信息安全團隊Project Zero的研究人員伊恩·比爾發布了一篇長達3萬字的文章,詳細描述了他是如何發現並驗證了一個iOS系統的嚴重漏洞——iOS內核中的內存損壞錯誤。
  • 谷歌研究人員曝光iPhone隱私漏洞
    記者 | 佘曉晨1近日,根據《今日俄羅斯》網站及多家外媒報導,一名來自谷歌公司的資深信息安全研究員發現了蘋果手機等設備存在重大漏洞:在無需接觸手機的情況下,用戶的一切信息都可以被獲取。按照上述研究人員的說法,該漏洞的關鍵點是蘋果公司一個簡稱為AWDL的網絡協議。目前,蘋果手機、平板、手錶等設備都在使用這項網絡協議——舉例而言,蘋果用戶可以通過AirDrop將照片和文件傳輸到其他蘋果設備。
  • 研究人員開發基於圖形的統計方法,可有效檢測車輛通信網絡威脅
    據外媒報導,馬裡蘭大學巴爾的摩分校的研究人員一直在研究如何提高技術複雜車輛的安全性。該校助理教授Riadul Islam與其同事,以及密西根大學迪爾本分校(University of Michigan-Dearborn)的研究人員共同開發了一種簡單易行的車輛安全漏洞檢測方法。
  • 即將起飛的美國軍方X-37B:是什麼樣的飛機?有什麼樣的用途?
    太空梭是一種有翼、可重複使用的太空器,由輔助的運載火箭發射脫離大氣層,作為往返於地球與外層空間間的交通工具,外形像飛機。太空梭升入太空時跟其他一次性使用的太空飛行器一樣,是用火箭動力垂直升入。但之所以設計成具有機翼的造型,是因為此機翼除了可在回到地球進入大氣圈的過程中提供空氣剎車的作用降低墜落速度外,也可在降跑道時提供升力,作用與滑翔機類似。
  • 研究人員在蠕蟲腸道微生物組發現一種很有前景的新抗生素
    現在,來自美國東北大學的研究人員在一種微小的寄生蠕蟲體內發現了這種武器。截止到目前的老鼠實驗證明這是有希望的。「我們的抗生素快用完了,」東北大學抗菌藥物發現中心(ADC)主任、這項新研究的首席研究員Kim Lewis說道,「我們需要在臨床或人群中尋找沒有預先存在耐藥性的新化合物。」
  • 大手筆鼓勵挖掘ICS和相關協議漏洞,Pwn2Own的「新業務」想傳達什麼?
    自2007年以來,Pwn2Own便鼓勵參賽者,以廣泛使用的軟體和具有未知漏洞的設備作為挑戰項目,挖掘尚未被發現的威脅以及0Day,而動輒上萬美金的獎勵,更使得這一活動成為網絡安全行業的風向標式的存在。「和其他競賽一樣,Pwn2Own試圖通過揭示漏洞並將研究結果提供給供應商來強化這些平臺」, Pwn2Own組織者、零日計劃(ZDI)發起人Brian Gorenc在周一的帖子中說。
  • 研究人員發現新型g波超導體
    研究人員認為,這預示著它可能是一種新型超導體此前,超導材料主要分為兩種類型:s波和d波。美國康奈爾大學助理教授Brad Ramshaw領導的團隊,發現了又一種可能的超導材料類型:g波。相關研究於當地時間9月21日刊登於《自然•物理學》雜誌中。超導體中的電子以庫珀對的形式一起運動。這種「配對」賦予了超導體最顯著的特徵:零電阻。
  • 美國軍事基地內又發現人類遺骸 美軍撇清關係:此人與軍方無關
    【環球網報導 記者 徐璐明】據美國《星條旗報》網站1月4日報導,近日美軍在位於聖安東尼奧的山姆·休士頓堡基地內發現一具男性遺骸。美軍在調查後稱,這名死亡的男子與軍方無關。美國軍方在1月4日表示,在山姆·休士頓堡基地內一條小溪附近發現一名男子的遺骸,他是麻薩諸塞州人,他與軍方無關。聖安東尼奧聯合基地的官員說,牙科記錄顯示,這具遺骸與一名名為胡安·聖地牙哥的男子有關,他於今年6月從麻薩諸塞州搬到了聖安東尼奧,目前已知的是他與該基地或是軍方沒有任何聯繫。
  • 臉書修補Messenger上可遭竊聽的安全漏洞
    臉書在本周公布了自2011年執行漏洞挖掘獎勵項目(Bug Bounty該漏洞是由Google Project Zero團隊成員Natalie Silvanovich所提報,而且獲得了6萬美元的高額獎金。
  • 美國研究人員發現:塑料已經進入了人體
    根據外媒報導,2020美國化學會年會近期發布了一項研究報告,該報告指出研究人員通過對人體組織和器官的研究發現了其中的塑料汙染問題發表該研究報告的是來自美國亞利桑那州立大學的教授洛夫·豪登以及他的學生,他們通過對47份人體組織樣品的監測,發現了塑料微粒的存在。塑料微粒分為兩種,一種是直徑小於5毫米的微塑料,另一種是直徑小於0.05毫米的納米塑料,而在此次研究中研究人員同時在人體組織樣本中發現了微塑料和納米塑料。
  • 美國軍方調查UFO計劃曝光
    美國《紐約時報》和《政治》網站援引多名計劃參與者和知情者的話報導,這一計劃從2007年開始,持續至大約2012年,耗資大約2000萬美元。五角大樓發言人證實了這項計劃的存在。調查內容包括美國軍方飛行員或民航飛行員與「不明飛行物」遭遇事件,比如飛行員的陳述和錄像。
  • JACS:研究人員從天然產物中開發更有效的抗癌藥物
    2019年6月11日訊 /生物谷BIOON /——阿肯色大學一名化學研究員的一項新研究揭示了Ipomoeassin F的關鍵分子機制。Ipomoeassin F是一種劇毒的天然產物,可以抑制許多腫瘤細胞系的生長。這一發現可能導致設計出更有效的抗癌藥物。
  • [視頻]美國軍方曾回收外星人屍體做研究
    [視頻]美國軍方曾回收外星人屍體做研究      央視網消息(探索發現