Onderzoekers stellen een nieuwe beveiligingstechniek voor: software vol stoppen met ‘valse bugs’. Het idee is om de tijd van aanvallers te verdoen.
Meer bugs, niet minder. Dat is het voorstel van een stel onderzoekers om computersystemen veiliger te maken. Het idee daarachter is om een resem niet-bruikbare lok-bugs in de software te stoppen die de tijd van aanvallers moeten verdoen. Met wat geluk zullen ze zo afdruipen voordat ze een ‘echte’ kwetsbaarheid’ hebben gevonden.
Het voorstel wordt uitgelegd in een onderzoek van de universiteit van New York, waar ze de naam ‘chaff bugs’ (kaf-foutjes, naar ‘het kaf van het koren scheiden’) meekrijgen. De onderzoekers werkten al langer aan een manier om automatisch bugs in programma’s te stoppen om detectiesoftware te testen. Deze studie is een zijsprongetje om te zien wat ze nog met die extra bugs kunnen doen.
Het schrijven van ‘exploits’ die de kwetsbaarheden van software uitbuiten, kost veel tijd en energie, zo legt Brendan Dolan-Gavitt, assistent professor aan de NYU Tandon uit aan techsite Motherboard. “Mensen die exploits kunnen schrijven zijn zeldzaam, en hun tijd is duur, dus als je een manier kunt vinden om die te verspillen heb je mogelijk een goed afschrikmiddel in handen.”
De kans is echter klein dat deze methode op korte termijn wijdverspreid zal worden. Zo is het redelijk belangrijk dat de ‘chaff bugs’ ook echt niet kunnen worden uitgebuit, moet ervoor gezorgd worden dat ze het programma niet doen crashen, en moeten ze ook heel erg op ‘echte’ bugs lijken. Dolan-Gavitt gelooft echter wel dat ze in bepaalde omgevingen wel kunnen worden ingezet.
Fout opgemerkt of meer nieuws? Meld het hier