Исследователи придумали, как обезопасить программы от взлома. Нужно всего лишь добавить в них побольше багов
Таким образом хакерам придётся потратить намного больше времени на взлом систем.
Исследователи информационных технологий из Нью-Йоркского университета предложили обезопасить программное обеспечение от взлома, добавив туда «пустые баги». По их мнению, попытки разработчиков устранить как можно больше ошибок упрощают хакерам работу.
Большое число некритичных ошибок действительно может сделать систему безопаснее. Их нужно расставить в правильных местах как приманки, тогда хакеры будут впустую тратить время на исследование таких «пустышек». Исследователи рассчитывают, что если добавить тысячи таких ошибок в код, то злоумышленникам «станет скучно» или «надоест» взламывать ПО, прежде чем они найдут реальную уязвимость.
Один из авторов исследования Брендан Долан-Гэвитт (Brendan Dolan-Gavitt) в разговоре с Motherboard заявил, что команда работает над способом автоматически добавлять ошибки в код. По словам учёного, идея фейковых уязвимостей пришла к нему, потому что у него много друзей, которые пишут эксплоиты (прим. TJ — программы, эксплуатирующие уязвимости).
Я знаю, как много работы приходится сделать между нахождением бага и созданием работающего эксплоита. И мне пришло в голову, что это можно как-то использовать.
Поиск уязвимостей в программах — долгий и трудоёмкий процесс, включающий в себя оценку или сортировку возможных ошибок, определение того, можно ли их использовать, и создание способа эксплуатации уязвимости.
Долан-Гэвитт пояснил, что люди, пишущие эксплоиты, — «очень редки», а их время «дорого стоит». Он решил, что если понять, как заставить их потратить это время впустую, то это будет иметь хороший «сдерживающий эффект». По словам исследователей, их прототип уже способен создавать несколько видов неэксплуатируемых багов и вводить их тысячами в реальное программное обеспечение.
Это новый тип обманной защиты, который тратит самый ценный ресурс квалифицированных злоумышленников — время.
Учёный рассказал, что был удивлён такому интересу пользователей к своей идее. По его словам, людям нравятся такие «настолько глупые, но умные» вещи.
Долан-Гэвитт заявил, что у его метода есть ряд ограничений, из-за которого он нескоро может стать широко применимым. Такой способ защиты нельзя использовать на программах с открытым исходным кодом, нужно убедиться, что добавленные ошибки действительно безвредны и неотличимы от реальных. Однако учёный считает, что идея найдёт применение «в некоторых сферах».
#офтоп #технологии