新的IARPA网络归因计划通过其代码搜寻黑客
喜欢指数的未来?加入我们的Xpotential社区,通过Xpotential University的课程进行未来的证明,阅读有关指数技术和趋势,连接,观看Keynote或浏览我的博客。
他们的一年是1988年,计算机是块状的,牛仔裤宽松,美国军方正在派海军陆战队前往伊拉克以支持武器检查。有人也在新墨西哥州的基尔特兰空军基地和马里兰州的安德鲁斯空军基地等地侵入未分类的军事系统。鉴于地缘政治气候,调查人员想知道网络攻击是否是国家国家国家 - 伊拉克试图阻止那里的军事行动。
不过,进行了三个星期的调查证明了这一猜测是错误的:“出来的是,来自加利福尼亚的两个少年和以色列的另一个少年陷入困境。”
该活动被冗余地称为太阳日出。它说明了能够确切确定谁在介入或撕毁您的数字系统的重要性 - 一个称为网络归因的过程。如果政府继续认为敌对国家可能渗透到计算机上,那么错位反应的影响可能会很大。
网络安全的未来,主题演讲者Matthew Griffin
自从太阳日出黎明以来的25年中,网络攻击和寻找肇事者的方法都变得更加复杂。现在,一个名为IARPA的组织 - 情报高级研究项目活动,这是情报界的高风险高级研究机构,是DARPA的表弟 - 希望将事情进一步迈出一步。一个名为源代码的程序,该程序代表在网络环境中确保我们的基本资源,它要求团队竞争开发新的方法来对恶意代码进行取证。目标是找到创新的方法来帮助手指可能的攻击者,并根据其编码方式并自动化归因过程的一部分。
斯坦福大学国际安全与合作中心网络政策与安全研究学者Herb Lin说,不仅有一种回答网络归因问题的方法。实际上,有三个:您可以找到从事肮脏工作的机器,特定的人操作这些机器或最终负责的政党 - 老板指导操作。
林说:“这些答案中的哪一个相关取决于您要做的事情。”“例如,如果您只想停止痛苦,您不一定要关心谁引起它或原因。这意味着您想追随机器。但是,如果您想阻止同一演员的未来攻击,您需要扎根于根源:指导动作的人。”
无论如何,能够回答问题的问题不仅在停止当前入侵,而且在防止未来问题方面都很重要。
苏珊·兰道(Susan Landau)说:“如果您不能归因,那么任何球员都很容易攻击您,因为不太可能会产生后果。”
为了获得三个归因答案中的任何一个,政府和私营部门都是重要的运营商。政府可以从我们其他人那里获得更多和不同的信息。但是,像CrowdStrike,Mandiant,Microsoft和Recudt Future这样的公司还有其他东西。
“私营部门在技术进步方面取得了显着领先地位,当他们共同努力时,就像在这个IARPA项目中一样,可能与大学研究人员一起,有共生的潜力。”
一些合作的背后也可能有一些特殊的调味料。
林说:“许多成立这些私营部门公司的人都是以前的情报人员,这并非偶然。”“他说,他们经常与仍在政府中的人的社交眨眼之间的关系。
出于明显的原因,源代码项目似乎是秘密的。当被问及时,IARPA是Cagey的,一旦选择了竞争团队并开始他们的工作拒绝发表评论,该实验室将有助于测试和评估源代码。但是,根据有关去年9月发布的计划的公告草案,研究团队将找到自动化的方法来检测软件代码之间的相似性,将攻击与已知模式匹配,并为这两个源代码 - 程序员编写的代码和二进制代码 - 和计算机读取它的代码。他们的技术必须能够吐出相似的得分并解释其对接。但这还不是全部:团队还将开发技术来分析模式如何指向“人口统计学”,这些模式可以指代一个国家,群体或个人。
林说,该计划方法的一般要旨有点像是一种任务文学学者有时会承担的:例如,根据句子结构,节奏模式和主题等方面,莎士比亚是否写了给定的游戏。
他说:“他们只能通过检查文本就可以说是或否。”“当然,这需要许多真正的莎士比亚的例子。”也许,他推测,IARPA计划可以产生的部分内容是确定邪恶的代码编写莎士比亚的一种方法,其中参考示例较少。
但是,IARPA要求表演者超越词汇和句法特征 - 从本质上讲,莎士比亚的言语,句子和段落如何被放在一起。关于这些基本匹配的任务有很多研究,而且攻击者也擅长构建他人(例如,伪造莎士比亚)并掩盖自己的身份(是莎士比亚,但写得不同,以使侦探从气味中丢掉)。
例如,一种称为变质或多态性恶意软件的代码会改变其语法,但可以维护相同的最终目标 - 程序正在尝试实现的目标。
也许这就是为什么源编码人员将重点放在“语义和行为”功能上:与程序的运行方式以及其代码的含义有关的特征。作为非宗教的例子,也许许多物理学家使用特定的讲座风格,但似乎没有其他人。如果您开始听某人的讲话,并且他们使用这种风格,则可以合理地推断他们是物理学家。软件中可能是类似的东西。或者,要继续剧院与其闭幕行为的比喻,“您能否提取这些戏剧的高级含义,而不是在这里和那里的单词在某种程度上使用这个词?”林说。“这是一个截然不同的问题。”这是一个IARPA想要的答案。
兰道说,尽管源代码的一部分可能会被归类,但由于参与者举行的一部分IARPA的一部分是有价值的,在政府中,不仅涉及归因成就,而且还涉及使之成为可能的能力。她说,在过去的几年中,政府变得更加愿意公开归因于网络攻击。
“这是一个决定,使美国国家安全更好地承认我们有这样做的技术,例如,将其纳入法院起诉,而不是保留这个秘密并允许肇事者不受惩罚。”
无论源代码团队能够做的什么,都将永远不会成为故事的结尾。因为网络归因不仅仅是技术努力;这也是政治上的。坏演员的动机并不是从代码取证中浮现出来的。
林说:“这永远不会来自技术。”有时,这种动机是财务上的,或者是愿意访问和使用他人的个人信息。有时,就像“黑客主义者”一样,这是哲学上的,渴望证明社会或政治上的观点。更严重的是,可以设计攻击来破坏关键基础设施,例如电网或管道,或收集有关军事行动的信息。
通常,指点部分不会来自技术法医,但是来自其他类型的情报,很方便地,运行该程序的情报界可以访问。
林说:“他们拦截了电子邮件,然后听电话对话。”“而且,如果他们发现这个热爱他的计划的家伙正在与女友谈论这件事,他们在谈话中听了,那很有趣。”