Forskere: Plant tusindvis af bugs i software for at narre hackere

Illustration: vectortatu/Bigstock
Forskere har fundet på en ny defensiv teknik.

Det kan lyde som en selvmodsigelse, men forskere ved New York University mener, at datasystemer kan blive sikrere, hvis man indbygger egne softwarefejl.

Injicering af tusindvis af bugs, bevidst plantet for at narre hackere, indgår således i en defensiv teknik, som de beskriver i en helt ny afhandling.

Lokkemad

Sofistikerede angribere er på udkig efter sårbarheder, som de kan udnytte. Her er tanken at få dem til at spilde tiden.

»En angriber, som forsøger at afdække huller, vil højst sandsynligt finde de bevidst placerede softwarefejl og spilde værdifulde ressourcer, når de forsøger at udvikle en funktionel adgangskode til den,« skriver forskerne.

De mener, at lokkemaden kan vildlede både menneskelige hackere og automatiserede systemer, som er designet til at afdække fejl i software.

»Mange af mine venner lever af at udvikle exploits, så jeg ved, hvor meget arbejde der ligger i hele processen, fra at afdække et hul til at finde på en exploit, der fungerer. Så slog det mig, at det er noget, vi kan udnytte,« siger en af forskerne, universitetslektor Brendan Dolan-Gavitt til mediet Motherboard.

Bugs, der ikke kan udnyttes

Han tilføjer, at personer, der er dygtige til at udvikle angrebskode, er en sjælden ressource, og at tiden, de har til rådighed, er kostbar.

Kan man spilde deres tid, mener lektoren, at det kan have en afskrækkende effekt.

»Ved nøje at begrænse forholdene, under hvilke disse fejl dukker op, samt effekterne, de har på softwaren, kan vi sikre, at fejlene ikke kan udnyttes - og i værste fald bare crasher softwaren,« lyder det i rapporten.

Fejl, som udløser crashes, kan udnyttes til DDoS. Forskerne peger dog på, at crashes, som er en konsekvens af ondsindede aktørers handlinger, ikke nødvendigvis vil påvirke applikationen eller en tjenestes generelle tilgængelighed.

»Det gælder blandt andet de fleste mikrotjenester, som er udviklet til at håndtere fejl på en server gnidningsløst ved at genstarte, eller til og med webservere som nginx, som har en pulje af serverprocesser, og som genstarter processer, som crasher. I sådanne tilfælde mærker almindelige brugere ikke afbrydelser, som er forårsaget af forsøg på at udnytte fejl, der ikke kan udnyttes,« skriver de.

– Værd at udforske

Hvor nyttige disse teknikker er i praksis, er mere usikkert. Forskerne indrømmer, at de ikke venter nogen stor udbredelse af dem i den nærmeste fremtid, og måske aldrig. Ifølge Motherboard er der flere årsager til dette.

Blandt andet er teknikken uegnet til open source-projekter. Der kan hvem som helst jo se koden.

Derudover er det hensigtmæssigt at vurdere, om det er i orden, at softwaren crasher ved ondsindet input, altså at det ikke skaber problemer, hvis en proces må genstartes.

»Ikke desto mindre mener jeg, at dette er en idé, som er værd at udforske, og at det kan være et praktisk tiltag i nogle miljøer,« siger universitetslektor Brendan Dolan-Gavitt til Motherboard.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ditlev Petersen

Det vil sige, at jeg ikke længere er en idiot men et geni? Fordi jeg er så god til at lave fejl.

I øvrigt, hvordan sikrer man sig, at de fejl, man bevidst lægger ind, ikke også kan udnyttes? Et eller andet sted skal jeg og andre jo til at reviewe og analysere alt det ekstra ragelse. Spørgsmålet er vist, hvem der spilder mest tid.

Magnus Jørgensen

Så folk der ikke kan skrive programmer uden de er fyldt med fejl, skal nu til at designe ekstra fejl som skal være "fejlfrie" ?

Det er ikke det dummeste jeg har hørt idag, men det er helt klart en sølvmedalje.

Enig.

Sammen med databasen til alle borgernes private oplysninger, som man selvfølgelig udstiller åbent på nettet, så kunne man lave en generator der generer et væld af lignende data baser med tilfældigt genereret indhold. Så ved hackeren ikke hvilken database der er den rigtige....

Security by obscurity.

Kenn Nielsen

Til dem som altid råber:
"Sikkerhed skal tænkes ind fra starten af sw-design og ikke klampes på bagefter"
Har DJØF-typerne nu den perfekte undskyldning:
"Sikkerhed er indtænkt fra start, men måske vi har været lidt for sikkerhedsbevidste, i designet..."

På mig lyder det som om nogle forskere har tænkt at løsningen på et projekt er "en softwarehoneypot", og startet ved konklusionen.

K

Kjeld Flarup Christensen

Det er blot en variant af security by obscurity. Er hullet der, så er hullet der.

Når det så er sagt, så er honeypots faktisk noget som har været brugt længe. Et meget udbredt værktøj er også fail2ban, som scanner logs og blokerer IP adresser som gør noget slemt.
Jeg har da også et par gange tænkt på at implementere en /admin på et website, og klap.

En simpel "fejlhåndtering" i en falsk fejl kunne være at blokere en IP. Fordelen er klar, så bruger man ikke mere tid på den scanner.

Ellers er jeg lidt undrende overfor hvilke bugs der er man skal implementere.
En åben port, den er lige til fail to ban. Man kan også lede den til en dum container.
SQL injection mulighed. Igen, den slags skal man fange og banne.

Hvis man ikke banner, så kommer man altså til at give ressourcer til en maskine der bare forsøger alt muligt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder