Det kan lyde som en selvmodsigelse, men forskere ved New York University mener, at datasystemer kan blive sikrere, hvis man indbygger egne softwarefejl.
Injicering af tusindvis af bugs, bevidst plantet for at narre hackere, indgår således i en defensiv teknik, som de beskriver i en helt ny afhandling.
Lokkemad
Sofistikerede angribere er på udkig efter sårbarheder, som de kan udnytte. Her er tanken at få dem til at spilde tiden.
»En angriber, som forsøger at afdække huller, vil højst sandsynligt finde de bevidst placerede softwarefejl og spilde værdifulde ressourcer, når de forsøger at udvikle en funktionel adgangskode til den,« skriver forskerne.
De mener, at lokkemaden kan vildlede både menneskelige hackere og automatiserede systemer, som er designet til at afdække fejl i software.
»Mange af mine venner lever af at udvikle exploits, så jeg ved, hvor meget arbejde der ligger i hele processen, fra at afdække et hul til at finde på en exploit, der fungerer. Så slog det mig, at det er noget, vi kan udnytte,« siger en af forskerne, universitetslektor Brendan Dolan-Gavitt til mediet Motherboard.
Bugs, der ikke kan udnyttes
Han tilføjer, at personer, der er dygtige til at udvikle angrebskode, er en sjælden ressource, og at tiden, de har til rådighed, er kostbar.
Kan man spilde deres tid, mener lektoren, at det kan have en afskrækkende effekt.
»Ved nøje at begrænse forholdene, under hvilke disse fejl dukker op, samt effekterne, de har på softwaren, kan vi sikre, at fejlene ikke kan udnyttes - og i værste fald bare crasher softwaren,« lyder det i rapporten.
Fejl, som udløser crashes, kan udnyttes til DDoS. Forskerne peger dog på, at crashes, som er en konsekvens af ondsindede aktørers handlinger, ikke nødvendigvis vil påvirke applikationen eller en tjenestes generelle tilgængelighed.
»Det gælder blandt andet de fleste mikrotjenester, som er udviklet til at håndtere fejl på en server gnidningsløst ved at genstarte, eller til og med webservere som nginx, som har en pulje af serverprocesser, og som genstarter processer, som crasher. I sådanne tilfælde mærker almindelige brugere ikke afbrydelser, som er forårsaget af forsøg på at udnytte fejl, der ikke kan udnyttes,« skriver de.
– Værd at udforske
Hvor nyttige disse teknikker er i praksis, er mere usikkert. Forskerne indrømmer, at de ikke venter nogen stor udbredelse af dem i den nærmeste fremtid, og måske aldrig. Ifølge Motherboard er der flere årsager til dette.
Blandt andet er teknikken uegnet til open source-projekter. Der kan hvem som helst jo se koden.
Derudover er det hensigtmæssigt at vurdere, om det er i orden, at softwaren crasher ved ondsindet input, altså at det ikke skaber problemer, hvis en proces må genstartes.
»Ikke desto mindre mener jeg, at dette er en idé, som er værd at udforske, og at det kan være et praktisk tiltag i nogle miljøer,« siger universitetslektor Brendan Dolan-Gavitt til Motherboard.
Denne artikel er fra digi.no.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
