Фалшиви бъгове правят софтуерния код по-сигурен

В опит да подобрят сигурността на софтуера, американски учени разработиха алгоритъм, който автоматично въвежда уязвимости в програмния код – те не могат да се използват от хакерите, но са много близки до реалните. Предполага се, че хакер, който търси „дупка” в софтуера, ще отдели ценно време за изучаване на „фалшификатите”, вместо да изследва истинските уязвимости.

Оригиналният начин за повишаване на сигурността на софтуерните продукти чрез целенасочено увеличаване на броя на уязвимостите в тях е дело на изследователи от университета в Ню Йорк. Примамките на пръв поглед изглеждат като истински, но в действителност не могат да бъдат използвани от злонамерени лица.

Идеята е, че хакерът ще прекарва времето си в изучаване на фалшивите бъгове, което ще го отвлече от търсенето и изследването на реално съществуващите във всеки софтуер уязвимости. Ако атакуващият е ограничен във времето, той може да не успее да хакне кода или просто да прецени, че крайният резултат не си струва усилията и така атаката ще се провали.

Изследването, озаглавено „Сламени бъгове: да възпрем атакуващите, като направим софтуера по-уязвим”, е публикувано от Чженхао Ху, Ю Ху и Брендън Долан-Гавит в уеб сайта на университетската библиотека Корнел. По думите на Долан-Гавит, доцент от Политехническия институт на Нюйоркския университет, екипът от няколко години работи по методи за автоматично въвеждане на уязвимости в софтуерния код, за да тества различни системи за откриване на бъгове. Създавайки такава методика, учените се замислили как да я използват и за други приложения.

Долан-Гавит казва, че много от колегите му печелят пари, като пишат експлойти за софтуерни уязвимости. Той обръща внимание на факта, че хакерите отделят много време между откриването на уязвимостта и създаването на работещ експлойт. Авторите на изследването решават да използват точно това обстоятелство като инструмент срещу хакерите.

„Хората, които могат да пишат експлойти, са рядкост и времето им е скъпо. Следователно, ако можете да разберете как да изразходвате времето им напразно, потенциално ще получите значим възпиращ ефект”, обяснява ученият.

Хакването на софтуера чрез открита в него уязвимост се извършва на няколко етапа. В първата фаза хакерът преценява дали е възможно с помощта на уязвимостта да предизвика реални щети на системата, след това създава експлойт и накрая го интегрира в системата. За оценка на уязвимостите се използват специални инструменти и именно те трябва да бъдат измамени от фалшивите бъгове, прикрити като истински.

Учените са успели да създадат прототип на алгоритъм, който е в състояние да генерира няколко вида бъгове, неподходящи за използване от хакерите, и да ги интегрира в хиляди софтуерни продукти. Тези фалшиви уязвимости биха изхабили значителна част от времето на хакера.

Долан-Гавит отбелязва, че изобретението предизвиква голям интерес от страна на потребителите на интернет, именно поради простотата на идеята. В същото време той предупреждава, че поради многобройни ограничения, тази методика може да не намери широко практическо приложение в близко време.

Първо, методиката не може да се използва в софтуер с отворен код. На второ място, трябва внимателно да се провери, че „сламените бъгове” наистина са безвредни, като в същото време не трябва да се различават на пръв поглед от истинските уязвимости. Въпреки това, авторите на идеята смятат, че идеята трябва да се развие допълнително и има шанс да намери практическо приложение в определени области.

Коментари по темата: „Фалшиви бъгове правят софтуерния код по-сигурен”

добавете коментар...

  1. Брей

    Ами, да само че и при едните добавянето, а при другите чистенето на бъгове става автоматично по време на компилация. Така, че цялата операция е безмислена. Както се казва, с увеличаването на трохите и хлебарките се увеличават!

  2. Fsociety

    Гениално! Значи най-добрият начин за справяне с хлебарките е да разпилеете още трохи по пода.. ГЕНИАЛНО.. ХАХАХАХАХАХА..

  3. zeroDay

    Ами то качеството на програмистите главоломно пада и трябва да се измисли оправдание.
    Купа с мед или Айрян резултата за крайният клиент ще е плачевен
    Предполагам и заплатите на Хънипотаджиите и любителите на айряна ще станат подходящи и адекватни на фалшивият код,който ще творят.за фалшив код фалшиви заплати как е..

  4. Хакер

    Е на това старите хакери си му викахме honeypots.

  5. Usera

    Чудесено извинение за некадърни програмисти, които ще губят времето за писане на дефектен дофтуер, а хакерите като видят какъв боклук е може и да не си губят времето – гениално решение.

  6. до _|_

    Те ти два линка:
    “https://arxiv.org/abs/1808.00659”
    “https://www.theregister.co.uk/2018/08/07/chaff_confuse_automated_vulnerability_scanners/”

  7. _|_

    Един линк няма в тая статия към външен източник. Научете се да не плагиатсвате **** !

Коментар