Det kan høres ut som en selvmotsigelse, men forskere ved New York University mener at datasystemer kan bli sikrere ved å introdusere nye programvarefeil.
Injisering av tusener av bugs, bevisst plantet for å lure hackere, inngår i en defensiv teknikk som de beskriver i en fersk avhandling.
Lokkemat
Sofistikerte angripere jakter allerede etter sårbarheter som de kan utnytte. Her er tanken å få dem til å sløse bort tiden sin.
– En angriper som forsøker å avdekke hull vil med høy sannsynlighet finne de bevisst plasserte programvarefeilene, og kaste bort verdifulle ressurser når de forsøker å utvikle fungerende angrepskode, skriver forskerne.
De mener at lokkematen kan villede både menneskelige hackere, så vel som automatiserte systemer laget for å avdekke feil i programvare.
– Mange av vennene mine lever av å utvikle sårbarheter, så jeg vet hvor mye arbeid som går med i prosessen fra å avdekke et hull til å komme opp med en fungerende exploit. Så slo det meg at dette er noe vi kan utnytte, sier en av forskerne, universitetslektor Brendan Dolan-Gavitt til nettstedet Motherboard.
- Hack med fuzzing: Slik brøt vi oss inn i en server
«Ikke-utnyttbare» bugs
Han legger til at folk med peiling på å utvikle angrepskode er en sjelden ressurs, og at tiden de har til rådighet er kostbar.
Klarer man å kaste bort tiden deres, så mener lektoren at det kan ha en avskrekkende effekt.
– Ved å nøye begrense forholdene der disse feilene manifesterer seg, samt effektene de har på programmet, kan vi sikre at feilene er ikke-utnyttbare, og i verste fall bare kan krasje programvaren, heter det i rapporten.
Feil som utløser krasj kan utnyttes til tjenestenektangrep. Forskerne peker likevel på at slike krasj som følge av ondsinnet input, ikke nødvendigvis trenger å påvirke applikasjonen eller en tjenestes generelle tilgjengelighet.
– Det gjelder blant annet de fleste mikrotjenester, som er laget for å grasiøst håndtere feil på en server ved å restarte, eller til og med webservere som nginx, som har en pool av serverprosesser og som restarter prosesser som krasjer. I slike tilfeller merker ikke vanlige brukere avbrudd som er forårsaket av forsøk på å utnytte ikke-utnyttbare feil, skriver de.
– Verdt å utforske
Hvor nyttige disse teknikkene er i praksis, er mer usikkert. Forskerne medgir selv at de neppe venter noen stor utbredelse med det første, og kanskje aldri. Ifølge Motherboard nevnes flere årsaker til det.
Blant annet er teknikken uegnet for åpen kildekode-prosjekter. Der kan jo hvem som helst studere koden. Videre er det bare hensiktmessig å vurdere hvis det er greit at programmet krasjer ved ondsinnet input, altså at det ikke skaper problemer om en prosess må restarte.
– Likevel mener jeg at dette er en idé som det er verdt å utforske, og at dette kan være praktisk å benytte i enkelte miljøer, sier universitetslektor Dolan.Gavitt til nettstedet.
