Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Концепция изменилась: Чтобы сделать ПО безопасным, в него нужно добавить побольше "дыр"

Концепция изменилась: Чтобы сделать ПО безопасным, в него нужно добавить побольше "дыр"


08.08.2018

Концепция изменилась Чтобы сделать ПО безопасным, в него нужно добавить побольше "дыр"

 

Исследователи из Нью-Йоркского университета нашли оригинальный способ повысить безопасность программных продуктов — путем целенаправленного увеличения в них количества уязвимостей. Речь идет не о настоящих, рабочих уязвимостях, а о ложных багах (chaff), приманках, которые на первый взгляд выглядят как настоящие, но на самом деле их нельзя эксплуатировать.

Идея заключается в том, что на изучение этих багов хакер потратит время, что отвлечет его от поиска и изучения настоящих "дыр". Если хакер ограничен во времени, то он может просто не успеть взломать код, или же может посчитать, что конечный результат не стоит таких усилий, в результате чего атака потерпит крах.

Исследование под названием "Соломенные баги: как сдержать атакующего, сделав ПО более уязвимым" (Chaff Bugs: Deterring Attackers by Making Software Buggier) было опубликовано Чжэньхао Ху (Zhenghao Hu), Юй Ху (Yu Hu) и Бренданом Доланом-Гавиттом (Brendan Dolan-Gavitt). Описание исследования можно найти на сайте библиотеки Корнеллского университета.

Брендан Долан-Гавитт, доцент Политехнического института Нью-Йоркского университета сообщил изданию Motherboard, что исследователи несколько лет работали над методиками автоматического внедрения уязвимостей в программный код — это было необходимо для тестирования различных систем обнаружения "дыр". Создав такую методику, они начали искать ей другие применения.

Долан-Гавитт поясняет, что многие его коллеги зарабатывают тем, что пишут эксплойты. Он обращает внимание на то, что между обнаружением уязвимости и созданием рабочего эксплойта проходит много времени и тратится много усилий. Именно этим и решили воспользоваться авторы исследования в борьбе с хакерами.

"Люди, которые могут писать эксплойты — редкость, и их время дорого стоит. Поэтому если вы сможете понять, как потратить это время впустую, вы потенциально получите значительный сдерживающий эффект", — поясняет ученый.

Взлом программного продукта через найденную в нем уязвимость состоит из нескольких этапов. На первом этапе хакер оценивает, можно ли с помощью какой-либо уязвимости причинить реальный вред системе, потом создает эксплойт и помещает его обратно в систему. Для оценки уязвимостей используются специальные инструменты, которые и нужно обмануть ложными уязвимостями, замаскированными под настоящие.

Исследователи смогли создать прототип алгоритма, который способен сгенерировать несколько видов багов, непригодных для эксплуатации, и внедрять их тысячами в крупные программные продукты. Это позволит растратить впустую значительную часть времени хакера, которому придется заниматься оценкой заведомо ложных уязвимостей.

Долан-Гавитт отмечает, что изобретение вызвало большой интерес со стороны пользователей интернета именно благодаря простоте идеи. Вместе с тем он предупреждает, что в силу многих ограничений, эта методика может никогда не получить практического применения, или по крайней мере не скоро станет широко используемой. Во-первых, ее нельзя использовать на открытом ПО. Во-вторых, необходимо тщательно проверять, что "соломенные баги" действительно безвредны, и одновременно эти баги должны на первый взгляд ничем не отличаться от настоящих. Несмотря на это, авторы идеи полагают, что ее стоит развивать дальше, и что такая методика может найти практическое применение в отдельных сферах.

 

Источник:
www.CNews.ru


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.