Исследователи предложили добавлять баги в софт для повышения его безопасности - «Новости»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Blizzard разочаровалась в Warcraft Rumble и уволила «большую часть» команды — нового контента не будет - «Новости сети»
Blizzard разочаровалась в Warcraft Rumble и уволила «большую часть» команды — нового контента не будет - «Новости сети»
Первый независимый обзор GeForce RTX 5050 — медленнее Intel Arc B580 и GeForce RTX 4060 - «Новости сети»
Первый независимый обзор GeForce RTX 5050 — медленнее Intel Arc B580 и GeForce RTX 4060 - «Новости сети»
Руководители крупных компаний перестали скрывать, что ИИ грозит массовыми увольнениями - «Новости сети»
Руководители крупных компаний перестали скрывать, что ИИ грозит массовыми увольнениями - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Яндекс обновил Алису и умные устройства: теперь помощника можно перебивать, а звонки с колонок стали удобнее - «Новости мира Интернет»
Яндекс обновил Алису и умные устройства: теперь помощника можно перебивать, а звонки с колонок стали удобнее - «Новости мира Интернет»
PNG обновился впервые за 20 лет: теперь формат поддерживает HDR, APNG и метаданные - «Новости мира Интернет»
PNG обновился впервые за 20 лет: теперь формат поддерживает HDR, APNG и метаданные - «Новости мира Интернет»
Да будет свет: российские IT-компании заинтересовались арендой тёмного волокна / ServerNews - «Новости сети»
Да будет свет: российские IT-компании заинтересовались арендой тёмного волокна / ServerNews - «Новости сети»
Вторая жизнь «Конкорда»: обновлённый сверхзвуковой лайнер вернётся в небо, но это не точно - «Новости сети»
Вторая жизнь «Конкорда»: обновлённый сверхзвуковой лайнер вернётся в небо, но это не точно - «Новости сети»
Maxell выпустила кассетный ретро-плеер MXCP-P100 с поддержкой Bluetooth-наушников и USB-C - «Новости сети»
Maxell выпустила кассетный ретро-плеер MXCP-P100 с поддержкой Bluetooth-наушников и USB-C - «Новости сети»
Новости мира Интернет » Новости » Исследователи предложили добавлять баги в софт для повышения его безопасности - «Новости»
.




);

Специалисты из Нью-Йоркского университета опубликовали интересное исследование, согласно которому, вместе с увеличением количества багов в коде растет и безопасность продукта. Как бы парадоксально это ни звучало, в теории специалистов есть смысл.





Исследователи предлагают добавлять в ПО фальшивые баги-приманки, которые в документе называют chaff bugs — «соломенные баги». Такие псевдопроблемы лишь заставят потенциальных злоумышленников зря потратить время и ресурсы на их изучение, но в итоге окажутся совершенно бесполезными с точки зрения эксплуатации.





Один из авторов исследования, Брэндон Долан-Гавитт (Brendan Dolan-Gavitt), рассказал журналистам Vice Motherboard, что работа над техникой автоматического добавления в код проблем ведется уже несколько лет (это необходимо для тестирования и оценки различных систем обнаружения багов). В ходе этой работы и родилась идея «соломенных багов».


«Многие мои друзья зарабатывают на жизнь написанием эксплоитов, так что я знаю, сколько труда лежит между обнаружением бага и созданием надежного эксплоита для него. И мне подумалось, что этим можно воспользоваться. Люди, которые пишут эксплоиты, редки, а их время дорого стоит, поэтому если придумать, как потратить их время впустую, можно добиться эффекта сдерживания», — говорит Долан-Гавитт.


Исследователи сообщают, что созданный ими прототип уже способен добавлять в софт бесполезные, неэксплуатируемые баги нескольких видов, буквально наводняя ими код и заставляя злоумышленников напрасно тратить их самый ценный ресурс — время.


«Я был очень удивлен (и благодарен!) когда после публикация нашего доклада, исследование привлекло к себе столько внимания. Видимо, людям понравился  подход “это настолько глупо, что даже умно”. Это действительно парадоксально, но может сработать», — добавляет специалист.


При этом эксперт признает, что у такой методики защиты есть множество ограничений, и вряд ли она когда-либо получит широкое распространение. Например, данный метод вряд ли возможно применить к опенсорсному ПО, а также нужно убедиться в том, что все фиктивные проблемы в коде действительно безобидны и при этом неотличимы от проблем настоящих.


«Однако мне кажется, что эта идея все же заслуживает изучения, и в конечном счете, может найти практическое применение в некоторых средах», — заключает исследователь.



Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

. ); Специалисты из Нью-Йоркского университета опубликовали интересное исследование, согласно которому, вместе с увеличением количества багов в коде растет и безопасность продукта. Как бы парадоксально это ни звучало, в теории специалистов есть смысл. cs researcher: we need to figure out ways to write safer code with fewer bugs so it can be exploited less often. Hu et. al.: what if *takes a huge bong rip* we added more bugs to the system instead. (this paper is lit) — poly

Смотрите также

А что там на главной? )))



Комментарии )))