原标题:资安周报第36期:未来5年,人类找複杂资安漏洞,机器人负责规律漏洞
加州大学圣塔芭芭拉分校组成的资安研究团队Shellphish在美国国防部DARPA举办的CGC比赛中,设计的机器人CRS系统,最终获得第三名好成绩。
图片来源:DARPA提供
美国国防部国防高等计画研究署(DARPA)推出的漏洞自动攻防比赛CGC(Cyber Grand Challenge)专案中,最终有七队队伍参与这样的竞赛,其中,最后获得第三名的队伍,就是美国加州大学圣塔芭芭拉分校组成的Shellphish设计的机器人Machaphish,不仅是DEF CON CTF经常入围决赛的强队,更是此次同时参加CGC和人类CTF比赛的队伍。
iThome专访Shellphish其中一名成员Antonio Bianchi时,他表示,机器的确可以在简单的漏洞上发挥优势,但面对比较複杂的漏洞分析时,至少在未来五年内,人类仍必须和机器人协同合作,才能发挥最强的漏洞分析效果。而专长软体品质分析的交通大学资工系教授黄世昆则指出,未来骇客就可能会是24小时不休息的机器人网军大队时,设计软体一旦不重视品质,包括软体产业和资安产业就会变成名符其实的惨业。
机器无法取代人类的直觉,协同合作可以发挥最大效益
DARPA除了举办CGC比赛外,之前也曾经举办过许多有趣的大挑战(Grand Challenge),像是Robotics(机器人)、Autonomous Vehicles(自动驾驶)等等,而网路安全(Cyber Security)也只是其中之一。黄世昆表示,这些比赛的共通点就是机器人自动化,不过,这些比赛目前都会简化环境来适应机器人的侷限性,是否可以成为主流,仍需要观察。
而Antonio Bianchi表示,虽然不知道下一次由国防部举办的CGC大赛,会在什幺时候再举办第二届,但可以肯定的是,至少在未来一年,自动化的Binary攻击(Exploitation)和防御(Defense)领域,一定会有长足的进步。
他也指出,其实目前已经有很多自动化工具,已经普遍使用在CTF的比赛以及用来挖掘真实世界的漏洞上,例如,可以自动化(Fuzzing Tools)挖掘弱点的工具AFL,便已经有许多成功的应用案例。
但是,Antonio Bianchi认为,要真正做到全自动化(Full Automation)而没有任何人力的介入与干涉,至少在未来的一段时间内,也只有在某一些设计过的环境下,例如CGC这样的比赛中,才做得到。毕竟,真实世界面临的环境是更为複杂的,人类的理性、经验、直觉等等,仍无法完全被一台「机器」取代。
黄世昆坦言,机器人的优点就是:没有情绪干扰问题、体力限制,并具有强大的运算能力,擅长解答天然、无意留下的 漏洞(Bug);相对于人类,就可能受限于情绪、体力限制,但优势则是具有抽象思考的能力,可以解超级抽象化的问题。他举例,最明显的例子就是,爱因斯坦的 E=mc^2相对论或者是费马最后定理等,机器人都不可能与人竞争。
另外,「还有环境的複杂性,也是机器人的罩门,」黄世昆表示,如同Robotics只能在限制的环境下通过障碍、爬楼梯,这是的CGC比赛, 也只能在简化的环境中,设计机器人与人类对战,「未来的互动,还是人类简化环境、问题具体化后、再丢给机器人解决。」他说。
某些白帽骇客的观察也和黄世昆雷同,从这次CGC的比赛结果来看,机器人擅长快速且固定的扫描模式,可以找出浅层的漏洞;但人类的优势,则擅长在不规则的状况中,找出漏洞的存在。
当CGC比赛一开始,设计的结果就决定比赛的结果
Antonio Bianchi分享他们CGC比赛的过程中就提到,面对CGC的比赛时,Shellphish要做的事情就是,设计一套完全自动化而且可以自己独立运作的系统(Autonomous System),「当比赛正式开始时,Shellphish就什幺也无法改变了。」他坦言。
他进一步解释,在开始比赛后,就算机器人出现了一个非常小、非常小的漏洞,因为无法立即做漏洞修正,这样的小漏洞就可能会彻底摧毁整套机器人系统的运作。所以,他说:「Shellphish为了打造具有高可靠度的机器人系统,不仅需要设计让系统很有弹性,也必须经过很多自动化和人工的测试机制。」
反观一般的CTF比赛时,参赛选手并不需要担心上述这些问题,Antonio Bianchi说:「即使比赛已经正式展开,但是,参赛选手仍然可以随时随地修补任何的系统漏洞,也可以随时调整比赛策略,一切都非常有弹性。」
不过,可以确定的是,机器人在某一些特定的情境下,表现确实比人类优异。Antonio Bianchi表示,像是在比赛的过程中,有些相对简单的漏洞,机器人自动搜寻的速度远远快过人类搜寻的速度;反观一些比较複杂的漏洞,至少从现在开始,在未来五年内,机器在进行这类的漏洞分析时,还是需要仰赖人类的协助。「在未来,最有趣的研究应该是,在分析漏洞时,人类和机器应该如何做到协同合作。」他说。
其他白帽骇客的观察也同意,要能够发挥机器人的长处,就必须将繁複、重複性高的工作交给机器人负责,人类就可以专注在複杂但具有创造性的项目。黄世昆则认为,像是CGC这样的比赛,可以将机器人推向具有更强大符号化的抽象思考能力,可以推衍出更能适应环境和化解环境因素的机器学习技术,他说:「这就是一种人类的进步。」
另外也有白帽骇客观察表示,这场CGC比赛,其实是集结资安过去十多年来的研究所产生的一项成果,当这种自动化的攻防技术已经成熟到一定程度时,如何善用机器人的力量,来进行更大规模的自动化分析,并且让人类可以专注在更特殊的状况时,是我们应该要学习的方向。
第三名Mechanical Phish的优势在于:可自动化产生複杂攻击程式
加州大学圣塔芭芭拉分校组成的Shellphish团队,一直是一个研究型的团队,Antonio Bianchi表示,即便在去年八月宣布,正式入围CGC最后七个参赛队伍,在这个过程中,Shellphish依旧没有偏废其他的研究项目,甚至于,他们对于开源释出的Binary分析工具Angr,在这段时间内,还新增了不少功能。但他认为,这一切的努力和付出并没有白费,因为,最终的研究成果,都有更实质回馈到为了CGC比赛所设计的CRS(Cbyer Reasoning System,网路决策推理系统)机器人系统:Mechanical Phish上,改进了不同的漏洞也让系统更具有弹性和可靠性。
Antonio Bianchi表示,越接近比赛时,Shellphish团队成员们,更是日以继夜、焚膏继晷地,不敢鬆懈手边的研究,甚至到最后距离正式比赛前的三个月,一天工作13小时都是基本款,完全没有任何休假日可言;还有更多团队成员到后来,甚至直接睡在研究室里,以研究室为家更是最佳写照。这种百分之两百投入的成果,也让Mechanical Phish最终获得CGC比赛第三名,Antonio Bianchi说,「他们甚至没有想到可以获得这幺棒的成绩。」
得到第三名虽然很值得开心,但是,Antonio Bianchi表示,团队还是需要进一步分析在CGC比赛过程中所有的数据,才能够进一步强化整个机器人自动化漏洞挖掘、分析和修补的能力。
但他认为,Mechanical Phish最大的优势其实来自于,可以自动化产生非常複杂的攻击程式(Exploits),DARPA也对Shellphish的表现印象深刻。像是自动化分析时,CRS系统面临的困境之一就是,需要分析的漏洞会呈现等比级数的成长,最后会成长到CRS系统无法继续分析下去。
例如,当程式有分支判断(Y/N)时,分析系统就会有两种选择;继续分析下去,当遇到另外一个分支需要判断时,这时候CRS需要分析的路径就有2x2种。但是,如果骇客故意用程式的迴圈弄个100次,CRS系统看起来虽然只需要分析小小的两行程式,但静态分析却要进行2的100次方次数的路径分析。
这次,DARPA把这个发生在真实邮件伺服器系统中的Crackaddr漏洞,移植到CGC平台上,普遍认为对于自动分析系统是一个不好分析的漏洞,「而Shellphish则是七队中,唯一在决赛中,攻破这个最难挑战漏洞的队伍。」Antonio Bianchi说。
此外,根据一些白帽骇客的观察,七队上场比赛的CRS系统,都是一套全自动化的系统,除了在比赛过程中,系统必须能稳定运作外,也必须同时处理数千个程式分析的任务,并且即时处理进入系统的封包。因此,白帽骇客观察指出,这些参赛团队要开发出这样稳定运作又能即时分析的CRS系统,不仅需要骇客攻防的技能,更需要基础扎实的系统软体开发能力,以及先进的程式分析技术能力,才能达成。这次包括卡内基美隆、柏克莱大学,甚至是加州大学圣塔芭芭拉分校等,都是长久具有程式分析能量的学校。
也因为CGC这样的比赛是无法单打独斗、需要团队合作,Antonio Bianchi认为,如果不是整个Shellphish团队都全心全意的投入这样的研究成果,才能让Mechanical Phish日增完美,最终才能拿到第三名的好成绩,「如果没有团队成员的付出,没有指导教授的鼓励,甚至是没有DARPA举办这样的竞赛,这一切都不可能成真。」他说。
上週(8/7~8/13)重要资安事件回顾:
※Linux爆核心漏洞,让骇客能拦截未加密流量
※研究人员展示以40美元打造的监控设备打开车门,约1亿辆福斯汽车曝险
※微软例行更新修补32个漏洞,含PDF Library等5个重大漏洞
※Gartner:2016全球资安市场将成长7.9%,达816亿美元
※资安业者揭露新网路间谍组织Strider,锁定俄国、中国、瑞典及比利时窃取资料
※达美航空资料中心停电,全球数百航班停飞,凸显灾难备援重要性
※Check Point:高通驱动程式漏洞累及9亿台Android装置
※安全专家展示拦截Samsung Pay交易代码进行远端信用卡盗刷
?
相关:
高中学习3年,领到的却是被疑为无效的毕业证。连日来,陕西省宝鸡市卧龙寺中学52名2016届高三毕业生的遭遇,引起公众关注。3年前,林牛(化名)进入宝鸡市卧龙寺中学就读高一。近日,他到学校领取高中毕业证时却发现:
郑州御水温泉酒店负责人资料背景 [非常娱乐]今天清晨,郑州一家酒店内的十多名旅客在一觉醒来之后,出现头昏无力,呼吸苦难的中毒症状,其中有两名旅客死亡,其余十来名患者分别在郑州三家医院接受治疗,除有两人情
当阳马店矸石发电有限责任公司负责人资料背景 [非常娱乐]昨日,涉事公司蒸汽管道爆裂事发地,受蒸汽冲击破坏,现场一片狼藉。11日下午,该公司发生爆管事故,致21人死亡、5人受伤。新华社发8月11日下午,湖北当阳市
广达电脑董事长林百里今在业绩发表会指出,目前云端智慧服务并不成熟,所以家用机器人、穿戴式装置还有很大的提升空间。林百里说,工业用机器人已取代一半人力,但家用机器人市场却还不成熟,总不能每天听机器人讲同
示意图,与新闻事件无关。 来自加州大学河滨分校(University of California, Riverside)与美国陆军研究实验室(US Army Research Laboratory)的6名研究人员在本周举行的Usenix安全研讨会上揭露了一个攸关RFC 59