Az Neumann Társaság blogja a legfejlettebb infokom technológiákról

Jelenből a Jövőbe

Jelenből a Jövőbe

Minél több a programhiba, annál biztonságosabb a rendszer

Facebook Tumblr Tweet Pinterest Tetszik
0
2018. szeptember 04. - ferenck

Viccesnek tűnik, pedig logikus: minél több a programhiba (bug) egy rendszerben, annál biztonságosabban működik. Ha a szoftverben gondosan elosztjuk a nem hasznosítható csali-hibákat, az azokat kiaknázni próbáló támadók idejüket és erőforrásaikat egyaránt elvesztegetik.

A New York Egyetem (NYU) informatikusai erre a koncepcióra épülő stratégiájukat „hamis sebezhetőségnek”, „tréfás bugoknak” nevezik. Az utóbbi években és most is hibákat automatikusan programokba tevő technikákon dolgoznak, munkájuk célja különféle „bug-találó” rendszerek tesztelése és kiértékelése.

fakebugs.jpg

Mihelyst kitaláltak egy módszert, elkezdtek töprengeni, hogy mi mást tehetnek vele.

„Mivel sok barátom azzal keresi a kenyerét, hogy rések kiaknázására ír megoldásokat, tudom, mennyi munka a megtalált bughoz megbízható használati utasítást kidolgozni. De a jelenséget előnyére is fordíthatjuk. Kevesen tudnak ilyeneket írni, és az idejük is drága, tehát elrettentő hatása lehet, ha kitaláljuk, hogyan vesszen kárba minél több idő” – magyarázza az egyik kutató, Brendan Dolan-Gavitt.

Az exploit (kihasználás, kiaknázás) információbiztonsági fogalomról beszél. Lényege, hogy a forráskódban terjesztett bináris program, adathalmaz vagy parancssorozat alkalmas a szoftver vagy a hardver biztonsági résének, hibájának kihasználására, és a rendszer ezek után tervezője által nem várt módon viselkedik, mert például meghackelték. Ehhez persze meg kell állapítani, hogy pontosan hol és milyen módszerrel aknázható ki, ráadásul az „eredményeket” be is kell építeni a rendszerbe.

A prototípus többezer kiaknázhatatlan bugot tud generálni, valódi szoftverekbe integrálni. A módszer a megtévesztésen alapuló védekezés új fajtája.

fakebugs0.jpg

A támadás a következőképpen történik: a támadó megtalálja a bugokat, próbálkozik, hogy hogyan használhatók ki, és miután rájött a megoldásra, kiaknázza a lehetőségeket.

Dolan-Gavitt a szélesebb körű használatot nehezítő korlátokra is figyelmeztet: nyílt forrású programokkal nem működik, a felhasználót meg kell győzni a csalik ártalmatlanságáról, meg kell tudni különböztetni őket a valódi bugoktól stb.

Eldöntendő kérdés, hogy feltörhetetlen szoftvert vagy kamu programhibákat írni a hatékonyabb. Az egyre intelligensebb és gyorsabb automatizált rendszerek többféleképpen diadalmaskodhatnak egymás felett, és ha legyőzni nem tudjuk őket, legalább tanuljunk tőlük – sugallja az NYU fejlesztése.

Szólj hozzá!
hacker információbiztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://jelenbolajovobe.blog.hu/api/trackback/id/tr9914182483

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása