一種新的防御技術可以通過使軟件更加笨拙來阻止攻擊者

紐約大學的研究人員最近設計了一種新的網(wǎng)絡防御技術，它通過添加所謂的“糠蟲蟲”，不可利用的漏洞，而不是消除現(xiàn)有的漏洞。他們的創(chuàng)造性研究的預印本版本上周上傳到ArXiv。

每天，越來越復雜的攻擊者發(fā)現(xiàn)計算機軟件中的錯誤，評估其可利用性，并開發(fā)利用它們的方法。大多數(shù)現(xiàn)有的防御技術旨在消除這些錯誤，限制它們，或添加可能使開發(fā)更具挑戰(zhàn)性的緩解措施。

“我們的項目基于我們與麻省理工學院林肯實驗室和東北大學合作進行的一些早期工作，評估了在軟件中發(fā)現(xiàn)缺陷的不同策略，”進行這項研究的研究人員之一Brendan Dolan-Gavitt告訴Tech Xplore。“為此，我們構建了一個系統(tǒng)，可以將數(shù)千個錯誤放入程序中，這樣我們就可以測量每個錯誤發(fā)現(xiàn)策略在檢測錯誤方面的效果。”

在他們開發(fā)了這個系統(tǒng)后，研究人員開始考慮在提高軟件安全性的背景下應用它的可能性。他們很快就意識到攻擊者通常會發(fā)現(xiàn)并利用軟件中的漏洞存在瓶頸。

“需要花費大量的時間和專業(yè)知識來確定哪些漏洞可以利用并開發(fā)出有效的漏洞，”Dolan-Gavitt解釋道。“所以我們意識到，如果我們能夠以某種方式確保我們添加的所有錯誤都是不可利用的，我們就可以壓倒攻擊者，將他們淹沒在誘人但卻最無害的錯誤之中。”

添加大量可證明但不明顯不可利用的錯誤可能會使攻擊者感到困惑，使他們浪費時間和精力尋找這些故意放置的漏洞的漏洞。研究人員稱這種新方法可以阻止攻擊者“嫌疑”。

“我們的系統(tǒng)會自動添加箔條漏洞，旨在用于開發(fā)人員構建軟件時，”Dolan-Gavitt說道。“我們使用兩種策略來確保錯誤是安全的：要么保證攻擊者只能破壞程序未使用的數(shù)據(jù)，要么確保攻擊者可以注入的值限制在我們可以確定的范圍內(nèi)很安全。“

在他們最近的研究中，研究人員使用這兩種策略自動將數(shù)千個不可利用的錯誤添加到實際軟件中，包括Web服務器NGINX和編碼器/解碼器庫libFLAC。他們發(fā)現(xiàn)該軟件的功能沒有受到損害，并且糠蟲漏洞似乎可用于當前的分類工具。

“最有趣的發(fā)現(xiàn)之一就是可以自動構建這些不可利用的漏洞，我們可以告訴它們不可利用，但攻擊者很難做到這一點，”Dolan-Gavitt說。“當我們開始時這對我們來說并不明顯，這是可行的。我們也認為這種應用某種經(jīng)濟邏輯的方法 - 找出攻擊者資源稀缺然后試圖瞄準它們 - 是一個富有成效的探索領域在軟件安全方面。“

雖然他們的研究收集了有希望的結果，但仍需要克服一些挑戰(zhàn)才能使這種方法變得切實可行。最重要的是，研究人員需要找出一種方法，使這些不可利用的錯誤與真正的錯誤完全無法區(qū)分。

“現(xiàn)在，我們添加的漏洞非常具有人工外觀，因此在尋找可利用的漏洞時，攻擊者可以利用這一事實來忽略我們的漏洞，”Dolan-Gavitt說道。“我們目前主要關注的是如何找到方法讓我們添加的錯誤看起來更像是自然發(fā)生的錯誤，然后運行實驗來證明攻擊者真的被我們的糠蟲錯誤所欺騙。”