色婷婷狠狠18禁久久YY,CHINESE性内射高清国产,国产女人18毛片水真多1,国产AV在线观看

五角大樓用來(lái)搜索軟件Bug的Mayhem工具是怎樣的

五角大樓用來(lái)搜索軟件Bug的Mayhem工具是怎樣的?

去年年底,互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司Cloudflare的安全工程師David Haynes發(fā)現(xiàn)自己正盯著一張奇怪的圖像?!澳羌兇馐呛詠y語(yǔ),”他說(shuō)?!耙淮蠖鸦液谏南袼?,由機(jī)器制造出來(lái)的?!彼芙^分享圖片,稱這將是一個(gè)安全風(fēng)險(xiǎn)。Haynes的謹(jǐn)慎是可以理解的。這張圖片是由一個(gè)名為Mayhem的工具創(chuàng)建的,該工具可以探測(cè)軟件以發(fā)現(xiàn)未知的安全漏洞,由卡內(nèi)基梅隆大學(xué)的衍生創(chuàng)企ForAllSecure制作。

Haynes一直在Cloudflare軟件上進(jìn)行測(cè)試,該軟件可以調(diào)整圖片的大小以加快網(wǎng)站的速度,并向它提供了幾張照片樣本。Mayhem將它們變異成了一些不正常的的圖片,通過(guò)觸發(fā)一個(gè)不被注意到的bug,使照片處理軟件崩潰,這個(gè)漏洞可能會(huì)給付費(fèi)給Cloudflare以保持網(wǎng)站正常運(yùn)行的客戶帶來(lái)問(wèn)題。

此后,Cloudflare將Mayhem作為其安全工具的標(biāo)準(zhǔn)配置。美國(guó)空軍、海軍和陸軍也使用了它。上個(gè)月,五角大樓授予ForAllSecure一份4500萬(wàn)美元的合同,讓Mayhem在整個(gè)美軍中推廣使用。該部門(mén)有大量的Bug可供查找。2018年的一份政府報(bào)告發(fā)現(xiàn),國(guó)防部在2012年至2017年期間測(cè)試的幾乎所有武器系統(tǒng)都存在嚴(yán)重的軟件漏洞。

Mayhem還不夠精密,不足以完全取代人類(lèi)漏洞查找員的工作,他們利用軟件設(shè)計(jì)知識(shí)、代碼閱讀技巧、創(chuàng)造力和直覺(jué)來(lái)尋找漏洞。但ForAllSecure聯(lián)合創(chuàng)始人兼CEO David Brumley表示,該工具可以幫助人類(lèi)專家完成更多的工作。世界上的軟件有更多的安全漏洞,專家們沒(méi)有時(shí)間去發(fā)現(xiàn),而每分鐘都有更多的漏洞出現(xiàn)。“安全并不在于是否安全或不安全,而在于你的行動(dòng)速度有多快?!盉rumley說(shuō)。

Mayhem起源于2016年在拉斯維加斯一家賭場(chǎng)舉行的一場(chǎng)不尋常的黑客大賽。數(shù)以百計(jì)的人到場(chǎng)觀看由五角大樓的研究機(jī)構(gòu)Darpa主辦的網(wǎng)絡(luò)大挑戰(zhàn)賽。但舞臺(tái)上沒(méi)有一個(gè)人,只有七臺(tái)電腦服務(wù)器。每臺(tái)服務(wù)器上都有一個(gè)機(jī)器人,它試圖發(fā)現(xiàn)并利用其他服務(wù)器的漏洞,同時(shí)也發(fā)現(xiàn)并修補(bǔ)自己的漏洞。8個(gè)小時(shí)后,由Brumley所帶領(lǐng)的卡內(nèi)基梅隆大學(xué)安全實(shí)驗(yàn)室團(tuán)隊(duì)制作的 "Mayhem "獲得了200萬(wàn)美元的最高獎(jiǎng)項(xiàng)。

目前仍是卡內(nèi)基梅隆大學(xué)教授的Brumley說(shuō),這段經(jīng)歷讓他相信,他的實(shí)驗(yàn)室創(chuàng)造的東西在現(xiàn)實(shí)世界中可以派上用場(chǎng)。他拋開(kāi)了團(tuán)隊(duì)的機(jī)器人的進(jìn)攻能力,認(rèn)為防御更重要,并著手將其商業(yè)化?!熬W(wǎng)絡(luò)安全挑戰(zhàn)賽( Cyber Grand Challenge)表明,完全自主安全是可能的?!彼f(shuō)。“計(jì)算機(jī)可以做得相當(dāng)不錯(cuò)。”

以色列等國(guó)政府都提出了合同,但ForAllSecure與美國(guó)政府簽約。它得到了國(guó)防創(chuàng)新部門(mén)的合同,這是五角大樓的一個(gè)小組,試圖將新技術(shù)快速引入美軍。ForAllSecure受到了挑戰(zhàn),通過(guò)尋找美軍使用的軍用變體商用客機(jī)的控制軟件中的漏洞來(lái)證明Mayhem的能力。在幾分鐘內(nèi),這個(gè)自動(dòng)黑客就發(fā)現(xiàn)了一個(gè)漏洞,該漏洞隨后被飛機(jī)制造商驗(yàn)證并修復(fù)了。

Mayhem發(fā)現(xiàn)的其他漏洞還包括今年早些時(shí)候在數(shù)百萬(wàn)臺(tái)網(wǎng)絡(luò)設(shè)備中使用的OpenWRT軟件中發(fā)現(xiàn)的一個(gè)漏洞。去年秋天,該公司的兩名實(shí)習(xí)生從Netflix的漏洞賞金計(jì)劃中獲得了一筆獎(jiǎng)金,因?yàn)樗麄兝肕ayhem發(fā)現(xiàn)了軟件中的一個(gè)漏洞,該軟件可以讓人們將視頻從手機(jī)發(fā)送到電視上。

Brumley表示,汽車(chē)和航空航天公司對(duì)這個(gè)工具的興趣特別濃厚。汽車(chē)和飛機(jī)對(duì)軟件的依賴性越來(lái)越強(qiáng),而這些軟件需要多年的可靠運(yùn)行,而且很少更新。

Mayhem只針對(duì)基于Linux操作系統(tǒng)的程序,發(fā)現(xiàn)漏洞的方式有兩種,一種是隨機(jī)的,另一種更有針對(duì)性。第一種稱為模糊測(cè)試,它涉及到用隨機(jī)生成的輸入(如命令或照片)轟炸目標(biāo)軟件,并觀察是否有觸發(fā)可利用的漏洞。第二種被稱為符號(hào)執(zhí)行,涉及到創(chuàng)建一個(gè)目標(biāo)軟件的簡(jiǎn)化數(shù)學(xué)表示??梢詫?duì)這個(gè)被簡(jiǎn)化的替身進(jìn)行分析,以確定真實(shí)目標(biāo)中的潛在弱點(diǎn)。

近幾年來(lái),模糊測(cè)試工具在計(jì)算機(jī)安全領(lǐng)域的應(yīng)用越來(lái)越廣泛。去年,谷歌發(fā)布了一個(gè)模糊測(cè)試工具,并表示已經(jīng)在其Chrome瀏覽器中發(fā)現(xiàn)了16000多個(gè)Bug。但Cloudflare公司的Haynes表示,該技術(shù)在行業(yè)內(nèi)仍未得到普遍使用,因?yàn)槟:郎y(cè)試工具通常需要對(duì)每個(gè)目標(biāo)程序進(jìn)行太多仔細(xì)的調(diào)整。他說(shuō),F(xiàn)orAllSecure精心打造的Mayhem更具適應(yīng)性,讓Cloudflare可以更常規(guī)地使用模糊測(cè)試。Haynes說(shuō),符號(hào)執(zhí)行可以找到更復(fù)雜的Bug,之前主要是在研究實(shí)驗(yàn)室中使用。

亞利桑那州立大學(xué)教授Ruoyu Wang希望Mayhem只是計(jì)算機(jī)安全領(lǐng)域更自動(dòng)化的未來(lái)的開(kāi)始,但他說(shuō),這將需要bug查找機(jī)器人與人類(lèi)進(jìn)行更多的合作。

Mayhem表明,自動(dòng)化可以做有用的工作,Wang說(shuō),但現(xiàn)有的自動(dòng)尋找漏洞的機(jī)器人在復(fù)雜的互聯(lián)網(wǎng)服務(wù)或軟件包中不能起到多大的作用。最好的軟件還遠(yuǎn)遠(yuǎn)不能像人類(lèi)那樣聰明到理解程序的意圖和功能。Mayhem比任何人類(lèi)更快地嘗試很多不同的東西的能力都無(wú)法替代。“很多自動(dòng)查找漏洞的難點(diǎn)問(wèn)題,現(xiàn)在還遠(yuǎn)遠(yuǎn)沒(méi)有解決?!盬ang說(shuō)。

Wang曾是一個(gè)名為Mechanical Phish的團(tuán)隊(duì)的一員,該團(tuán)隊(duì)在2016年Darpa錦標(biāo)賽上獲得了第三名。他現(xiàn)在正在從事該機(jī)構(gòu)的一個(gè)名為CHESS的新研究項(xiàng)目,試圖制造出更強(qiáng)大的Bug查找軟件?!艾F(xiàn)在,最先進(jìn)的自動(dòng)化不知道什么時(shí)候會(huì)遇到障礙,”Wang說(shuō)。“它應(yīng)該意識(shí)到這一點(diǎn),并向人類(lèi)咨詢?!?/p>