一种新的防御技术可以通过使软件更加笨拙来阻止攻击者

纽约大学的研究人员最近设计了一种新的网络防御技术，它通过添加所谓的“糠虫虫”，不可利用的漏洞，而不是消除现有的漏洞。他们的创造性研究的预印本版本上周上传到ArXiv。

每天，越来越复杂的攻击者发现计算机软件中的错误，评估其可利用性，并开发利用它们的方法。大多数现有的防御技术旨在消除这些错误，限制它们，或添加可能使开发更具挑战性的缓解措施。

“我们的项目基于我们与麻省理工学院林肯实验室和东北大学合作进行的一些早期工作，评估了在软件中发现缺陷的不同策略，”进行这项研究的研究人员之一Brendan Dolan-Gavitt告诉Tech Xplore。“为此，我们构建了一个系统，可以将数千个错误放入程序中，这样我们就可以测量每个错误发现策略在检测错误方面的效果。”

在他们开发了这个系统后，研究人员开始考虑在提高软件安全性的背景下应用它的可能性。他们很快就意识到攻击者通常会发现并利用软件中的漏洞存在瓶颈。

“需要花费大量的时间和专业知识来确定哪些漏洞可以利用并开发出有效的漏洞，”Dolan-Gavitt解释道。“所以我们意识到，如果我们能够以某种方式确保我们添加的所有错误都是不可利用的，我们就可以压倒攻击者，将他们淹没在诱人但却最无害的错误之中。”

添加大量可证明但不明显不可利用的错误可能会使攻击者感到困惑，使他们浪费时间和精力寻找这些故意放置的漏洞的漏洞。研究人员称这种新方法可以阻止攻击者“嫌疑”。

“我们的系统会自动添加箔条漏洞，旨在用于开发人员构建软件时，”Dolan-Gavitt说道。“我们使用两种策略来确保错误是安全的：要么保证攻击者只能破坏程序未使用的数据，要么确保攻击者可以注入的值限制在我们可以确定的范围内很安全。“

在他们最近的研究中，研究人员使用这两种策略自动将数千个不可利用的错误添加到实际软件中，包括Web服务器NGINX和编码器/解码器库libFLAC。他们发现该软件的功能没有受到损害，并且糠虫漏洞似乎可用于当前的分类工具。

“最有趣的发现之一就是可以自动构建这些不可利用的漏洞，我们可以告诉它们不可利用，但攻击者很难做到这一点，”Dolan-Gavitt说。“当我们开始时这对我们来说并不明显，这是可行的。我们也认为这种应用某种经济逻辑的方法 - 找出攻击者资源稀缺然后试图瞄准它们 - 是一个富有成效的探索领域在软件安全方面。“

虽然他们的研究收集了有希望的结果，但仍需要克服一些挑战才能使这种方法变得切实可行。最重要的是，研究人员需要找出一种方法，使这些不可利用的错误与真正的错误完全无法区分。

“现在，我们添加的漏洞非常具有人工外观，因此在寻找可利用的漏洞时，攻击者可以利用这一事实来忽略我们的漏洞，”Dolan-Gavitt说道。“我们目前主要关注的是如何找到方法让我们添加的错误看起来更像是自然发生的错误，然后运行实验来证明攻击者真的被我们的糠虫错误所欺骗。”