Контратака: як не залишити хакерам шансу вас зламати
Не только крупные корпорации, но и обычные пользователи часто становятся жертвами хакерских атак. В США предложили интересный способ «запутать» виртуальных преступников, чтобы спать спокойно
Американские исследователи предложили необычный подход к защите программного обеспечения — намеренно добавлять в код программы ошибки. Они создали систему, которая автоматически добавляет в код множество ошибок, но таких, которые не могут привести к реальной уязвимости, а только к завершению программы или другим некритическим проблемам. Предполагается, что это помешает злоумышленниками искать настоящие уязвимости.
Обычно программные ошибки приводят лишь к некорректному функционированию самой программы, но в некоторых случаях они позволяют злоумышленнику исполнять произвольный код, который, к примеру, может красть личные данные пользователя. Для защиты от таких ошибок существует несколько способов. Самый очевидный из них — ручной или автоматизированный поиск ошибок и их исправление. Кроме того, существуют механизмы усложнения эксплуатации существующих уязвимостей, такие как рандомизация размещения адресного пространства, или языки программирования с автоматическим управлением памятью, которые также повышают безопасность написанных на них программ. Группа исследователей в области компьютерной безопасности из Нью-Йоркского университета под руководством Брендана Долан-Гавитта (Brendan Dolan-Gavitt) предложила контринтуитивный метод повышения безопасности программ, в основе которого лежит добавление в них новых ошибок. Основная идея исследователей заключается в том, что чем больше количество «поддельных» ошибок в коде программы, тем больше времени понадобится злоумышленнику на поиск критических ошибок и написание программы для их эксплуатации.
В своей работе авторы сконцентрировались на безопасности доступа к памяти компьютера. Созданная ими система создает «безопасные» ошибки, приводящие к переполнению буфера, в частности, переполнению стека и кучи. Для автоматизированного создания таких ошибок исследователи воспользовались представленной в 2016 утилитой LAVA. Новая система была протестирована на трех программах — библиотеке кодирования аудиофайлов libFLAC , системной утилите file из Unix-подобных операционных систем и популярном веб-сервере nginx. Разработчики предоставляли программам данные двух видов — нормальные и те, которые должны были вызвать аварийное завершение программы вследствие внедренной ошибки. Исследователи показали, что система способна внедрять тысячи ошибок в код программ, но их наличие не приводит к некорректному функционированию программ в ответ на корректные данные.
Исследователи давали программам данные из двух наборов — нормальные значения и значения, которые должны привести к аварийному завершению программы из-за внедренной ошибки. Авторы показали, что система способна внедрять тысячи ошибок в код программ, но их наличие не приводит к некорректному функционированию программ в ответ на корректные данные. Перспективы развития технологий начинают напоминать антиутопию. Ранее Politeka писала о том, что компании-гиганты Google и Apple вскоре смогут управлять человечеством в буквальном смысле слова. Об этом заявил британский ученый Пирсон Йен. По его словам, за последние десятилетия эти корпорации инвестировали миллиарды долларов в развитие искусственного интеллекта.
Возможно, что уже очень скоро корпорации начнут инвестировать также в биотехнологии, а с течением времени даже разработают проекты по вживлению в человеческое тело специальных чипов, которые анализируют его поведение и состояние организма.
Напомним, ранее Politeka писала о том, что компания Google успешно работает над развитием проекта, связанного с предсказанием даты смерти человека.
Как сообщала Politeka, ученые смогут получить «воспоминания» из клеток ДНК организма человека.
Также Politeka сообщала о том, что баг в работе искусственного интеллекта Google не на шутку испугал юзеров Интернета.