Forskere: Plant tusindvis af bugs i software for at narre hackere

8. august 2018 kl. 12:3711
Forskere: Plant tusindvis af bugs i software for at narre hackere
Illustration: vectortatu/Bigstock.
Forskere har fundet på en ny defensiv teknik.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det kan lyde som en selvmodsigelse, men forskere ved New York University mener, at datasystemer kan blive sikrere, hvis man indbygger egne softwarefejl.

Injicering af tusindvis af bugs, bevidst plantet for at narre hackere, indgår således i en defensiv teknik, som de beskriver i en helt ny afhandling.

Lokkemad

Sofistikerede angribere er på udkig efter sårbarheder, som de kan udnytte. Her er tanken at få dem til at spilde tiden.

»En angriber, som forsøger at afdække huller, vil højst sandsynligt finde de bevidst placerede softwarefejl og spilde værdifulde ressourcer, når de forsøger at udvikle en funktionel adgangskode til den,« skriver forskerne.

Artiklen fortsætter efter annoncen

De mener, at lokkemaden kan vildlede både menneskelige hackere og automatiserede systemer, som er designet til at afdække fejl i software.

»Mange af mine venner lever af at udvikle exploits, så jeg ved, hvor meget arbejde der ligger i hele processen, fra at afdække et hul til at finde på en exploit, der fungerer. Så slog det mig, at det er noget, vi kan udnytte,« siger en af forskerne, universitetslektor Brendan Dolan-Gavitt til mediet Motherboard.

Bugs, der ikke kan udnyttes

Han tilføjer, at personer, der er dygtige til at udvikle angrebskode, er en sjælden ressource, og at tiden, de har til rådighed, er kostbar.

Kan man spilde deres tid, mener lektoren, at det kan have en afskrækkende effekt.

Artiklen fortsætter efter annoncen

»Ved nøje at begrænse forholdene, under hvilke disse fejl dukker op, samt effekterne, de har på softwaren, kan vi sikre, at fejlene ikke kan udnyttes - og i værste fald bare crasher softwaren,« lyder det i rapporten.

Fejl, som udløser crashes, kan udnyttes til DDoS. Forskerne peger dog på, at crashes, som er en konsekvens af ondsindede aktørers handlinger, ikke nødvendigvis vil påvirke applikationen eller en tjenestes generelle tilgængelighed.

»Det gælder blandt andet de fleste mikrotjenester, som er udviklet til at håndtere fejl på en server gnidningsløst ved at genstarte, eller til og med webservere som nginx, som har en pulje af serverprocesser, og som genstarter processer, som crasher. I sådanne tilfælde mærker almindelige brugere ikke afbrydelser, som er forårsaget af forsøg på at udnytte fejl, der ikke kan udnyttes,« skriver de.

– Værd at udforske

Hvor nyttige disse teknikker er i praksis, er mere usikkert. Forskerne indrømmer, at de ikke venter nogen stor udbredelse af dem i den nærmeste fremtid, og måske aldrig. Ifølge Motherboard er der flere årsager til dette.

Artiklen fortsætter efter annoncen

Blandt andet er teknikken uegnet til open source-projekter. Der kan hvem som helst jo se koden.

Derudover er det hensigtmæssigt at vurdere, om det er i orden, at softwaren crasher ved ondsindet input, altså at det ikke skaber problemer, hvis en proces må genstartes.

»Ikke desto mindre mener jeg, at dette er en idé, som er værd at udforske, og at det kan være et praktisk tiltag i nogle miljøer,« siger universitetslektor Brendan Dolan-Gavitt til Motherboard.

Denne artikel er fra digi.no.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
9. august 2018 kl. 13:52

Det er blot en variant af security by obscurity. Er hullet der, så er hullet der.

Når det så er sagt, så er honeypots faktisk noget som har været brugt længe. Et meget udbredt værktøj er også fail2ban, som scanner logs og blokerer IP adresser som gør noget slemt. Jeg har da også et par gange tænkt på at implementere en /admin på et website, og klap.

En simpel "fejlhåndtering" i en falsk fejl kunne være at blokere en IP. Fordelen er klar, så bruger man ikke mere tid på den scanner.

Ellers er jeg lidt undrende overfor hvilke bugs der er man skal implementere. En åben port, den er lige til fail to ban. Man kan også lede den til en dum container. SQL injection mulighed. Igen, den slags skal man fange og banne.

Hvis man ikke banner, så kommer man altså til at give ressourcer til en maskine der bare forsøger alt muligt.

8
9. august 2018 kl. 09:05

Til dem som altid råber: "Sikkerhed skal tænkes ind fra starten af sw-design og ikke klampes på bagefter" Har DJØF-typerne nu den perfekte undskyldning: "Sikkerhed er indtænkt fra start, men måske vi har været lidt for sikkerhedsbevidste, i designet..."

På mig lyder det som om nogle forskere har tænkt at løsningen på et projekt er "en softwarehoneypot", og startet ved konklusionen.

K

6
8. august 2018 kl. 16:28

Hold kæft en lorte ide. Hvad med at skrive software sikkert i stedet.

5
8. august 2018 kl. 15:37

Så folk der ikke kan skrive programmer uden de er fyldt med fejl, skal nu til at designe ekstra fejl som skal være "fejlfrie" ?</p>
<p>Det er ikke det dummeste jeg har hørt idag, men det er helt klart en sølvmedalje.

Enig.

Sammen med databasen til alle borgernes private oplysninger, som man selvfølgelig udstiller åbent på nettet, så kunne man lave en generator der generer et væld af lignende data baser med tilfældigt genereret indhold. Så ved hackeren ikke hvilken database der er den rigtige....

Security by obscurity.

4
8. august 2018 kl. 13:56

Det vil sige, at jeg ikke længere er en idiot men et geni? Fordi jeg er så god til at lave fejl.

I øvrigt, hvordan sikrer man sig, at de fejl, man bevidst lægger ind, ikke også kan udnyttes? Et eller andet sted skal jeg og andre jo til at reviewe og analysere alt det ekstra ragelse. Spørgsmålet er vist, hvem der spilder mest tid.

3
8. august 2018 kl. 13:38

Så folk der ikke kan skrive programmer uden de er fyldt med fejl, skal nu til at designe ekstra fejl som skal være "fejlfrie" ?

Det er ikke det dummeste jeg har hørt idag, men det er helt klart en sølvmedalje.

2
8. august 2018 kl. 13:01

Bugs are Epic features! - Top Secret.

1
8. august 2018 kl. 12:58

Hva siger performance og grøn IT osv til det forslag?

"Ny version, nu med ekstra meget bloat, falske funktioner, inputfelter der ikke gør noget, forvirrende hjælpetekster, tomme kald og andet knald og ballade. Ja man skulle næsten tro det er en edb-løsning i det offentlige!"