Android安全团队的Rich Cannings,Sebastian Porst,
Jon Larimer,Adrian Ludwig,Scott Roberts和Nick Kralevich
当Adrian Ludwig描述了计算机安全的理想方法时,他提出了一个类比。 但它不是一个锁或防火墙或城堡周围的护城河。 他说,计算机安全应该像信用卡业务一样工作。
他解释说,信用卡公司并不能消除风险。 它管理风险,使用描述整个市场的数据为每个人建立不同的风险(和不同的利率)。 Ludwig认为,计算机安全应该以同样的方式工作。 “安全社区规定的好,坏白和黑色的模式?”他说。 “这将是全黑,除非我们接受,将有灰色的阴影。
这是你期望他说的。 Ludwig在Google工作,负责监督Android的安全性,这是一个移动操作系统,它始终包括尽可能多的手机制造商,应用和用户。但他和他的同事们的目标是朝着一个新的方向走这个想法。如果安全的未来在于管理风险,他解释说,然后安全的未来是机器学习,同样的赢咖4,已经证明在谷歌帝国的许多其他部分成功。我们不应该编写旨在阻止所有在线攻击的快速数字规则。随着互联网的发展越来越复杂,因为它涉及更多的人,这将最终关闭每个人。相反,我们应该构建系统,分析更大的景观,并学习识别潜在的问题。
通过与信用卡公司的比较,Ludwig将Google与其主要竞争对手苹果(苹果公司)隔离开来,苹果公司严格控制了iPhone。 “我不想要的解决方案是:”我们关闭一切,“”路德维希告诉我。不用说,苹果的安全模式确实有它的优点。联邦通信委员会正在调查为什么需要这么长时间来安全Android手机上的安全漏洞 - 这个问题可能是由于Google系统分散,Google与许多不同的手机制造商合作造成的。苹果只是一个手机制造商:本身。但路德维希的观点是,在自由放任和锁定之间可以有一个快乐的中间地带。这涉及机器学习,包括越来越重要的AI技术,称为深层神经网络。
Ludwig说,“如果你有十亿台设备,那么无论你的安全性有多好 - 其中一些设备会有错误,其中一些设备已经损坏,”Ludwig说,他在国家安全局工作了八年,加入Google之前,安全咨询公司@stake几乎没有。 “要管理它,你需要数据,你需要分析它。
深刻的本能
他不是唯一一个推动这个大想法的人。百度,“中国的谷歌”,使用深层神经网络来识别恶意软件。所以安全创业公司如Deep Instinct和Cylance也是如此。正如一个神经网络可以识别照片的特定特征,它可以识别恶意软件赢咖4平台 - 或一些有缺陷的操作系统代码暴露你的手机到恶意黑客。
但革命可能不在这里。 Google的努力仍处于早期阶段。 “这不是一个科学实验。它是真实的。但它不是主要的解决方案,“Ludwig说。目前,谷歌没有所需要的问题,它完全按照自己的想法训练它的神经网络。 “大多数应用都很安全。而且有几个坏球员,“与路德维希一起工作的Rich Cannings说。 “真的很难找到这个桶。”讽刺的是,为了真正拥抱机器学习,Google需要更多的Android问题来满足神经网络 - 或者更好的神经网络。
这不是说Android的安全记录是一尘不染。 “一年前,”一个安全机构Zimperium的研究人员Joshua Drake说,他最近发现了Android中的一个重要的字符串错误,“我真的觉得Android没有投资安全”。机器学习是没有治疗方法的,所有。它不会帮助Google在所有这些Android手机制造商上分发安全补丁。但它可以帮助确定安全漏洞 - 如果当前的技术完善。
保镖在门上
Sebastian Porst负责运行Google小组,负责识别可能显示在Android手机上的任何恶意或易受攻击的应用。他想把自己从工作中解脱出来。最终,他想要机器来做这项工作。 “这就是目标,”他说。
在Google,这是一个不寻常的态度。事实上,它的理念驱动着公司运营的方式。 “我们结束了一个团队的人,他们将通过手工执行任务快速变得无聊,并拥有必要的技能来编写软件来取代以前的手动工作”,Ben Treynor Sloss说,他负责监督Google员工在线服务运行。
在Android安全团队内部,这项工作不是那么遥远,但是Porst和他的团队已经建立了一个自动化系统,它至少部分地在同一条路上移动。 Dubbed Bouncer,这个系统会分析上传到Google Play商店的每个应用程式,寻找恶意或其他有问题的软体程式码,然后运行每个应用程式,以便分析行为。它还与Google网络抓取工具(为公司的搜索引擎索引互联网)相关联,因此可以自动扫描上传到随机网站的Android应用。 “我们从每个来源扫描赢咖4平台,我们可以得到我们的手,”Porst说。如果一个未知的赢咖4平台下载到一定数量的Android手机,系统将抓住它,并分析其代码和行为。
在过去,Bouncer根据预定义的规则操作。但现在,为了磨练系统,Google还倾向于机器学习。在扫描所有这些赢咖4平台,系统收集了大量的数据,每一个,Porst调用“信号” - 定义赢咖4平台的特性和行为。现在,团队正在将这些信号馈入神经网络,以便系统可以了解哪些特性组合表示恶意软件。 Porst说:“我们可以使用机器学习来确定哪些信号实际上与潜在的有害行为相关,哪些是完全无害的。
有用。但只有一点。目前,Porst说,“安全专业知识不能被任何机器学习算法所取代。”事实上,机器学习只是团队扫描流程的一部分,如果系统将赢咖4平台标记为有问题,检查其工作。麻烦的是数据太少。 Porst说,这些技术对于Play商店以外的赢咖4平台比内部赢咖4平台更有效,主要是因为,现在几乎没有有害软件上传到商店。现在,歹徒几乎知道不要尝试。
这不是说机器学习不会改善Porst和团队。安全公司Deep Instinct的首席技术官Eli David说,他的公司已经通过分析数据而不是仅仅在一个计算机平台(例如Android,但是所有平台)上构建了有效的模型。 “你的范围,”他说,“必须很大。
真正的Clusterfuzz
在确定移动操作系统中的一个空白洞之后,Jon Larimer在Google找到了一份工作。他在图形设备驱动程序中发现了一个缺陷,它在Android手机上渲染图形。他写了一个利用这个缺陷通过互联网完全控制手机的漏洞。然后他把它展示给路德维希和船员。 “你得遇到别人,”路德维希说。
现在,Larimer和他的团队正在建立一个系统,可以自己识别这样的洞。
Android安全工程师喜欢Nick Kralevich构建代码,旨在消除操作系统中可利用的漏洞。但孔仍然出现。因此,利用最初由处理Google Chrome浏览器安全性的团队构建的技术,Larimer和其他人正在构建一个处理模糊测试的系统,它通过抛出各种随机输入来寻求软件漏洞。模糊是一个常见的事情,但这个系统被称为Clusterfuzz同时模糊几十个Android手机。
在某些情况下,它测试这些手机的虚拟化身,在任何给定时间分析数千台服务器中的大约1500。它还测试物理设备,因为硬件可以真正改变手机的行为。在Google HQ的Building 43内部,您会发现大量的机架,数百个电话插入这个扫描系统。 “我们团队中没有很多人,”他说。 “但是我们所拥有的优势是规模,访问成千上万的CPU。
现在,为了找出更多错误,Google正在对机器学习进行处理。 Larimer和团队正在探索可以识别Clusterfuzz遇到的每个文件的结构的神经网络。如果系统知道结构,它可以更彻底地测试文件。而不是只是随机投入输入的文件,它可以使用那些适合其特定的组成。在学习识别文件如何操作时,Larimer解释说,神经网络可以帮助fuzzer“尽可能多地触摸代码”。像Porst的机器学习一样,项目还很年轻。但有承诺。 “我们最终可以达到100%的覆盖率,”Larimer说。 “这是未来的地方。
寻找中间地
如果没有别的,所有这些工作表明Android安全正在改变。除了迈向机器学习之外,公司已经在前微软人Scott Roberts的指导下推出了一个大额奖励计划,Ludwig做出了更大的努力来解释他的团队如何解决安全问题。像Joshua Drake这样的外部研究人员习惯于质疑谷歌在Android的早期安全问题。但即使德雷克会告诉你,他看到了变化的迹象,特别是他去年夏天暴露了Stagefright的bug。 “有一个巨大的区别,”德雷克说。 “它达到了他们意识到他们需要做更多的。
Google不相信苹果的模式。但Ludwig和他的Android团队知道,旧的方法也不一定奏效。他们认为理想的方法是介于两者之间。和其他人同意。 “两种生态系统都有优点和缺点,”德雷克说。 “这不是那么简单。”如果是这样,机器学习确实可以在移动安全的未来发挥重要作用。如果他们可以让它工作。
