一種新的防御技術(shù)可以通過使軟件更加笨拙來阻止攻擊者

紐約大學(xué)的研究人員最近設(shè)計(jì)了一種新的網(wǎng)絡(luò)防御技術(shù)，它通過添加所謂的“糠蟲蟲”，不可利用的漏洞，而不是消除現(xiàn)有的漏洞。他們的創(chuàng)造性研究的預(yù)印本版本上周上傳到ArXiv。

每天，越來越復(fù)雜的攻擊者發(fā)現(xiàn)計(jì)算機(jī)軟件中的錯(cuò)誤，評(píng)估其可利用性，并開發(fā)利用它們的方法。大多數(shù)現(xiàn)有的防御技術(shù)旨在消除這些錯(cuò)誤，限制它們，或添加可能使開發(fā)更具挑戰(zhàn)性的緩解措施。

“我們的項(xiàng)目基于我們與麻省理工學(xué)院林肯實(shí)驗(yàn)室和東北大學(xué)合作進(jìn)行的一些早期工作，評(píng)估了在軟件中發(fā)現(xiàn)缺陷的不同策略，”進(jìn)行這項(xiàng)研究的研究人員之一Brendan Dolan-Gavitt告訴Tech Xplore。“為此，我們構(gòu)建了一個(gè)系統(tǒng)，可以將數(shù)千個(gè)錯(cuò)誤放入程序中，這樣我們就可以測(cè)量每個(gè)錯(cuò)誤發(fā)現(xiàn)策略在檢測(cè)錯(cuò)誤方面的效果。”

在他們開發(fā)了這個(gè)系統(tǒng)后，研究人員開始考慮在提高軟件安全性的背景下應(yīng)用它的可能性。他們很快就意識(shí)到攻擊者通常會(huì)發(fā)現(xiàn)并利用軟件中的漏洞存在瓶頸。

“需要花費(fèi)大量的時(shí)間和專業(yè)知識(shí)來確定哪些漏洞可以利用并開發(fā)出有效的漏洞，”Dolan-Gavitt解釋道。“所以我們意識(shí)到，如果我們能夠以某種方式確保我們添加的所有錯(cuò)誤都是不可利用的，我們就可以壓倒攻擊者，將他們淹沒在誘人但卻最無害的錯(cuò)誤之中。”

添加大量可證明但不明顯不可利用的錯(cuò)誤可能會(huì)使攻擊者感到困惑，使他們浪費(fèi)時(shí)間和精力尋找這些故意放置的漏洞的漏洞。研究人員稱這種新方法可以阻止攻擊者“嫌疑”。

“我們的系統(tǒng)會(huì)自動(dòng)添加箔條漏洞，旨在用于開發(fā)人員構(gòu)建軟件時(shí)，”Dolan-Gavitt說道。“我們使用兩種策略來確保錯(cuò)誤是安全的：要么保證攻擊者只能破壞程序未使用的數(shù)據(jù)，要么確保攻擊者可以注入的值限制在我們可以確定的范圍內(nèi)很安全。“

在他們最近的研究中，研究人員使用這兩種策略自動(dòng)將數(shù)千個(gè)不可利用的錯(cuò)誤添加到實(shí)際軟件中，包括Web服務(wù)器NGINX和編碼器/解碼器庫libFLAC。他們發(fā)現(xiàn)該軟件的功能沒有受到損害，并且糠蟲漏洞似乎可用于當(dāng)前的分類工具。

“最有趣的發(fā)現(xiàn)之一就是可以自動(dòng)構(gòu)建這些不可利用的漏洞，我們可以告訴它們不可利用，但攻擊者很難做到這一點(diǎn)，”Dolan-Gavitt說。“當(dāng)我們開始時(shí)這對(duì)我們來說并不明顯，這是可行的。我們也認(rèn)為這種應(yīng)用某種經(jīng)濟(jì)邏輯的方法 - 找出攻擊者資源稀缺然后試圖瞄準(zhǔn)它們 - 是一個(gè)富有成效的探索領(lǐng)域在軟件安全方面。“

雖然他們的研究收集了有希望的結(jié)果，但仍需要克服一些挑戰(zhàn)才能使這種方法變得切實(shí)可行。最重要的是，研究人員需要找出一種方法，使這些不可利用的錯(cuò)誤與真正的錯(cuò)誤完全無法區(qū)分。

“現(xiàn)在，我們添加的漏洞非常具有人工外觀，因此在尋找可利用的漏洞時(shí)，攻擊者可以利用這一事實(shí)來忽略我們的漏洞，”Dolan-Gavitt說道。“我們目前主要關(guān)注的是如何找到方法讓我們添加的錯(cuò)誤看起來更像是自然發(fā)生的錯(cuò)誤，然后運(yùn)行實(shí)驗(yàn)來證明攻擊者真的被我們的糠蟲錯(cuò)誤所欺騙。”