یک تحقیق جدید که توسط پژوهشگرانی از دانشگاه نیویورک انجام شده به این جمعبندی رسیده است که به جای تلاش مداوم برای شکار و نابودی کردن باگها، بهتر است به برنامهها یک باگ پوشالی(chaff bug) افزوده شود تا ایمنتر شوند.
با «باگیتر» کردن نرمافزار، هکرها را میتوان فریب داد و بدین طریق درگیر تعداد زیادی باگ در یک سیستم کرد تا نهایتا خسته شده و دست از تلاش بردارند.
به گزارش گرداب، این گزارش ذکر نموده است که باگهای پوشالی را میتوان وقتی به عنوان «غیرقابل سوءاستفاده» طراحی نمود که نحوه آشکار شدن باگها به صورت محدود و کنترل شده باشند. تحت این شرایط، باگهای پوشالی تنها در بدترین حالتشان میتوانند به یک سیستم آسیب جدی بزنند.
یک استادیار دانشگاه نیویورک به نام Dolan-Gavitt در مصاحبه با سیودایو گفت که برای پیادهسازی آنها، توسعه دهندگان باید برنامهای را در اختیار داشته باشند که خودشان نوشتهاند و بسته است، و سپس کمیت بالایی از باگهای پوشالی را به آن بیافزایند. این باگها واقعی و تعمدا قابل شناسایی هستند.
در این گزارش آمده است که زبانهای برنامهنویسی فاقد «تضمینهای ایمنی حافظه»، مانند C و C++، غالبا قربانی خطاهای برنامه نویسی میشوند که منتج به بروز اشکال در حافظه میشود. باگهای حاصله فرصت مناسبی در اختیار کسانی که نیات بدی دارند قرار میدهند.
سوء استفاده از یک باگ یک فرایند دستی و معمولا زمانبر است. همین موضوع برای شناسایی باگهای بالقوه نیز صدق میکند. فارغ از اینکه چه مقدار پیشرفت در شناسایی خودکار حاصل شده باشد، تضمینی نیست که همه باگها قابل شناسایی باشند.
با این حال، از دیدگاه Dolan-Gavitt، توجه به حجم مهارتها و زمان مورد نیاز برای سوء استفاده از یک باگ برای امنیت اهمیت اساسی دارد. این همیشه «به داشتن یک ذهنیت اقتصادی» برای امنیت سایبری کمک میکند؛ و تمرکز این تحقیق بر این نکته بوده است.
افزودن باگهای پوشالی اساسا با هدف از بین بردن بازدهی سرمایهگذاری بدخواهان انجام میشود چرا که، به گفته وی، مداما مواجه شدن با یک باگ پوشالی «دشمن را سردرگم و گیج میکند».
ولی Dolan-Gavitt هشدار میدهد که این تحقیق «هنوز برای آزمودن در دنیای واقعی کاملا مناسب نیست» زیرا هنوز «مشکلاتی عملی» وجود دارند که باید راهکاری برایشان یافته شود. به عنوان مثال، باگهای پوشالی ظاهری مصنوعی دارند و «هکرها ممکن است ماهرتر از حد معمول باشند.»
همچنین استفاده از آنها ممکن است تاثیری منفی بر محققان امنیتی «صادق» داشته باشد که با میدان مینی پر از باگهای جعلی مواجه میشوند.