条目标记“漏洞”

第1页共30页

机器学习来检测软件漏洞

没有人怀疑人工智能(AI)和机器学习(ML)将改变网络安全。我们 只是 知道 如何, 。而文学通常侧重于人工智能的不同用途攻击者和捍卫者­合成两个­之间的军备竞赛我想谈谈软件漏洞。

所有的软件都有缺陷。原因基本上是经济上的:市场不想为高质量的软件买单。除了少数例外,比如航天飞机,市场把快速和廉价看得比好东西更重要。其结果是,任何大型的现代软件包都包含数百或数千个错误。

一些bug也是漏洞,其中的一个百分比是可利用的漏洞,这意味着知道它们的攻击者可以以某种方式攻击底层系统。其中的一些是被发现和使用的。这就是为什么你的电脑和智能手机软件总是被打补丁;软件供应商正在修复已经发现并正在使用的漏洞。

如果软件供应商在设计和开发过程中发现并修复所有错误,一切都会变得更好。但是,就像我说的,市场不会奖励这种拖延和花费。人工智能,特别是机器学习,有可能永远改变这种平衡。

发现软件漏洞的问题似乎非常适合ML系统。逐行检查代码是计算机擅长的一种繁琐的问题,如果我们能教会他们脆弱是什么样子。这是有挑战的,当然,但有已经 一个 健康的 学术 文学关于这个话题—— 研究 继续。随着时间的推移,我们有充分的理由期待ML系统在这方面做得更好,我们有理由期待他们最终会变得非常擅长。

发现漏洞对攻击者和防御者都有好处,但这不是一场公平的战斗。当攻击者的ML系统发现软件中的漏洞时,攻击者可以使用它来危害系统。当防御者的ML系统发现相同的漏洞时,他或她可以尝试修补系统或程序的网络防御,以监视和阻止试图利用它的代码。

但是,当同一系统在软件开发人员手中,他们使用该系统在软件发布之前发现漏洞,开发人员对它进行了修复,因此它一开始就不能使用。ML系统可能是他或她的软件设计工具的一部分,当代码还在开发时,它将自动发现并修复漏洞。

快进到10年左右的未来。我们可能会说,“还记得那些软件漏洞盛行的年代吗?在ML漏洞查找程序被构建到每个编译器中并在软件发布之前修复它们之前?哇,那些年都是疯狂的,“不仅未来可能,但我敢打赌。

从这里到那里将是一段危险的旅程,虽然。这些漏洞查找程序将首先在现有软件上释放,为攻击者提供了数百个(如果不是数千个的话)漏洞,以便在实际攻击中加以利用。肯定的是,防御者可以使用相同的系统,但是今天的很多物联网系统没有编写补丁的工程团队,也没有下载和安装补丁的能力。其结果是攻击者可以发现和使用数百个漏洞。

但如果我们看得足够远,我们可以看到一个未来软件漏洞都是过去的事了。那我们就什么都不用担心了新的和更先进的这些人工智能系统提出的攻击技术。

这篇文章之前出现在SecurityIntelligence.com上。

发布于1月8日,2019年6点13分查看评论188滚球网站

更多的幽灵/ Meltdown-Like攻击

早在今年1月,我们 学会了关于一类针对微处理器的漏洞,利用各种性能和效率快捷方式进行攻击。我写了前两次袭击只是开始:

微处理器设计者已经构建不安全的硬件20年了,这并不奇怪。令人惊讶的是,它花了20年才被发现。他们急于使计算机更快,他们没有考虑安全问题。他们没有发现这些漏洞的专业知识。而那些找到的人则忙于寻找正常的软件漏洞,无暇检查微处理器。安全研究人员开始更仔细地研究这些系统,因此,期待听到更多这方面的漏洞。

幽灵党和崩溃是灾难性的弱点,但它们只影响数据的保密性。现在,他们——以及对英特尔ME漏洞的研究——已经向研究人员表明,未来还会有更多的事情发生——他们将会发现比幽灵党或崩溃更糟糕的事情。会有漏洞允许攻击者跨进程操作或删除数据,控制我们汽车的电脑或植入的医疗设备可能会致命。这些问题同样也不可能解决,唯一的策略就是扔掉我们的设备,买新的。

我们看到几个 变体在今年。现在研究人员发现

研究人员表示,他们在执行“可靠的、可扩展的瞬时执行攻击系统化”时,发现了7种新的CPU攻击。比如投机性执行过程,CPU的内部缓存,以及其他内部执行阶段。

研究小组表示,他们已经成功地用概念验证代码演示了所有7种攻击。证实另外六次熔毁攻击没有成功的实验,根据研究人员发布的图表。

微处理器设计者花了一年的时间重新考虑他们架构的安全性。我猜他们还有很多需要重新思考的地方。

11月14日,2018年下午3:30查看评论188滚球网站

甲骨文与“责任披露”

十多年来,我一直在写“负责任的披露”;这是一篇文章从2007年开始。基本上,这是研究人员和软件供应商之间的一种默契。研究人员同意在软件公司修复这些漏洞之前暂停他们的工作,软件供应商同意不骚扰研究人员,也不迅速修复漏洞。

当协议破裂时,事情发展得很快。这个故事是关于一个研究人员发布了Oracle零日,因为Oracle有骚扰研究人员和忽略漏洞的历史。

软件供应商可能不喜欢负责任的披露,但这是我们最好的解决方案。在未经供应商同意的情况下发布漏洞是非法的,这意味着这些漏洞不会很快得到修复,而且每个人的安全性都会降低。这也意味着更少的安全研究。

这对于以直接的物理方式影响世界的软件来说将变得更加重要,比如汽车和飞机。负责任的披露让我们更安全,但只有当软件供应商认真对待这些漏洞并迅速修复它们时,它才能发挥作用。没有任何法规强制执行,信息披露的威胁是我们能够对软件供应商施加的唯一激励。

11月14日,2018年6点46分查看评论188滚球网站

五角大楼正在发布外国的民族国家恶意软件

这是一个新事物:

五角大楼突然开始上传来自APTs和其他国家的恶意软件样本到VirusTotal网站,它本质上是一个恶意软件动物园,安全专家和反病毒/恶意软件检测引擎使用它来更好地了解威胁环境。

这感觉像是美国主动骚扰外国政府行为者的新战略的一个例子。通过公开他们的恶意软件,美国正迫使它们不断发现和利用新的漏洞。

编辑后增加(11/13):是另一篇好文章。和在这里 关于恶意软件的一些背景。

11月9日,2018年下午1点52分查看评论188滚球网站

iOS 12.1的脆弱性

这只是想指出计算机安全是真的很难:

周二苹果发布iOS 12.1时,西班牙一名安全研究人员发现了一个漏洞,该漏洞利用Facetime群组通话,让任何人无需密码就能访问iPhone用户的联系方式。

[…]

一个坏的行为人将需要他们所瞄准的手机的物理访问,并且有一些选项来查看受害者的联系信息。他们要么用另一部iPhone打电话,要么自己打电话。一旦电话接通,他们需要:

  • 选择Facetime图标
  • 选择“添加”
  • 选择加号图标
  • 滚动联系人并在名称上使用3D touch查看所有存储的联系人信息。

在不输入密码的情况下拨打电话,你可以告诉Siri电话号码,或者,如果他们不知道数字,他们可以说“打我的电话”。我们用车主的声音和陌生人的声音测试了这一点,在这两种情况下,这通电话是Siri发起的。

11月8日,2018年6点35分查看评论188滚球网站

《消费者报告》评论无线家庭安全摄像头

《消费者报告》正在开始评估物联网设备的安全性。作为其中的一部分,这是回顾无线家庭安全摄像头。

它发现D-Link摄像头存在重大安全漏洞:

相比之下,D-Link不将DCS-2630L上的视频存储在云中。相反,照相机有它自己的,在web服务器,它可以以不同的方式向用户发送视频。

用户可以通过app观看视频,mydlink Lite。视频是加密的,它从摄像机传到D-Link的公司服务器,最终用户的手机。用户还可以通过公司网页访问相同的加密视频提要,mydlink.com。这些都是访问视频的安全方法。

但D-Link摄像头也可以让你绕过D-Link公司服务器,通过笔记本电脑或其他设备上的网络浏览器直接访问视频。如果你这样做,摄像头上的web服务器不会加密视频。

如果你设置这种远程访问,摄像头和未加密的视频对网络开放。他们可能会被人发现或发现猜测相机的IP地址­——如果你还没有设置强密码,黑客可能会发现很容易获得访问权限。

真正的新闻是《消费者报告》能够对设备制造商施加压力:

在响应消费者报告查询时,D-Link表示将加强安保更新这个秋天。消费者报告将评估这些更新一旦可用。

这就是我们需要对物联网设备制造商施加的持续压力。

Boing Boing链接

编辑补充(11/13):美国联邦贸易委员会就是这样起诉因为他们的路由器很不安全。诉讼 提起2017年1月。

11月7日,2018年6点39分查看评论188滚球网站

固态硬盘加密的安全性

有趣的研究:“自加密欺骗:固态硬盘加密的弱点”:

文摘:对几种ssd的硬件全磁盘加密进行了逆向工程分析。在理论上,硬件加密提供的安全性保证类似于或优于软件实现。在现实中,我们发现许多硬件实现都有关键的安全弱点,对于许多模型,允许在不知道任何秘密的情况下完全恢复数据。驱动器加密,如果SSD宣称支持硬件全磁盘加密,那么内置在Microsoft Windows中的加密软件将完全依赖硬件全磁盘加密。因此,对于这些驱动器,BitLocker保护的数据也受到了损害。这对硬件加密优于软件加密的观点提出了挑战。我们的结论是,不应该仅仅依赖ssd提供的硬件加密。

编辑补充:众所周知,美国国家安全局攻击 固件ssd。

编辑为添加(11/13):CERT咨询。和年长的研究

11月6日,2018年6点51分查看评论188滚球网站

联网建筑起重机的安全漏洞

似乎坏:

F25软件被发现包含捕获重放漏洞——基本上攻击者能够窃听起重机和控制器之间的无线电传输,然后发出自己的空中欺骗指令,夺取起重机的控制权。

US-CERT解释说:“这些设备使用固定的代码,可以通过嗅探和重新传输来复制。”

这可能导致未经授权的命令重播,任意消息的欺骗,或者保持受控负载处于永久“停止”状态。

这是CERT咨询。

张贴于10月29日,2018年6点18分查看评论188滚球网站

美国武器系统的安全漏洞

美国政府会计办公室刚刚出版一份新的报告:武器系统网络安全:国防部刚刚开始应对漏洞的规模”(总结在这里)。结果对于我的老读者来说并不意外:他们很脆弱。

从总结:

自动化和连通性是国防部现代军事能力的基础。然而,它们使武器系统更容易受到网络攻击。尽管高和其他人几十年来一直在警告网络风险,直到最近,国防部没有优先考虑武器系统的网络安全。最后,国防部仍在决定如何最好地解决武器系统网络安全问题。

在运行测试中,国防部经常在正在开发的系统中发现关键任务的网络漏洞,然而项目官员高认为他们的系统是安全的,并认为一些测试结果是不现实的。使用相对简单的工具和技术,测试人员能够控制系统,并且在很大程度上不被发现地操作,部分原因是由于密码管理和未加密通信等基本问题。此外,由于测试的限制,国防部所知道的漏洞可能只占全部漏洞的一小部分。例如,并不是所有的程序都经过了测试,测试并不能反映所有的威胁。

这当然更简单,便宜的,忽视这个问题或者假装它不是什么大问题。但从长远来看,这可能是个错误。

张贴于10月10日,2018年6点21分查看评论188滚球网站

触摸屏投票计算机的安全漏洞

当然,ESS express投票计算机将有很多安全漏洞。这是一个电脑,电脑有很多弱点。这个特殊的漏洞特别有趣,因为它是设计过程中安全错误的结果。有人没有仔细考虑安全问题,其结果是一个选民可验证的书面审计跟踪,无法提供它承诺的安全性。

这是细节:

现在有一个比“带着书面记录的衣服”更糟糕的选择;我把它叫做“如果机器可以作弊,就按这个按钮”选项。美国最大的投票机供应商,ES&S,有一排投票机器叫快速投票。其中一些是光学扫描仪(这很好),还有一些是“组合”机器,基本上,一个投票标记装置和一个光学扫描仪合为一体。

这个视频展示约翰逊县购买的ExpressVote一体机触摸屏,堪萨斯州。投票人将一张空白选票带到机器前,插入一个槽,选择候选人。然后机器将这些选择打印到空白选票上,并将其吐出来供选民检查。如果选民满意,她把它插回插槽,记数的地方(并投进密封的投票箱以便可能进行重新计票或审计)。

到目前为止,这看起来还可以,不过这个过程有点麻烦,也不是很直观(自己看视频)。它仍然受到我上面描述的问题的困扰:选民可能不会仔细审查所有的选择,尤其是在预选中;各县需要购买更多的投票机,因为选民占用机器的时间很长(与操作扫描选票相比,在那里,他们使用廉价的纸板隐私屏幕)。

但是有一个非常糟糕的特点:“我们的版本有两种选择,”(约翰逊县选举委员会委员罗尼·梅茨克[Ronnie Metsker]说。“我们指示选民打印选票,这样他们就可以查看纸质选票,但他们没有被要求这么做。如果他们想按“投票”按钮,它就会投票,但如果他们这样做了,他们是在充分了解情况的情况下这样做的,他们就不会看到他们的选票卡,它将被铸造,扫描,在机器背面的安全选票容器中制成表格并放入。TYT调查,詹妮弗·科恩的文章,9月6日2018]

现在,被黑客攻击的机器很容易进行无法察觉的欺骗!所有欺诈性的计票程序都要等到选民在“不检查投票”和“在投票前检查投票”之间做出选择。如果是后者,然后不要作弊在这个投票。如果是前者,然后改变投票方式,然后把这些假选票印在选票上,知道选民已经放弃了观看的权利。

选民可验证的纸质审计跟踪并不要求每个选民都验证纸质选票。但它要求每位选民都能核实纸质选票。我一直对电子投票机的糟糕程度感到惊讶。是的,他们的电脑。但它们似乎也是由不懂计算机(或任何)安全的人设计的。

发布于9月20日,2018年6点45分查看评论188滚球网站

Bruce Schneier的188滚球网站照片由Per Ervland提供。

188滚球网站Schneier on Security是一个个人网站。表达的意见不一定是……的意见IBM有弹性