باگ، خوب یا بد؟

تزریق باگ اضافی به سیستم برای افزایش امنیت

تزریق باگ اضافی به سیستم برای افزایش امنیت
تاریخ انتشار : ۲۷ مرداد ۱۳۹۷

افزودن باگ‌های پوشالی اساسا با هدف از بین بردن بازدهی سرمایه‌گذاری بدخواهان انجام می‌شود چرا که مداما مواجه شدن با یک باگ پوشالی «دشمن را سردرگم و گیج می‌کند».

یک تحقیق جدید که توسط پژوهشگرانی از دانشگاه نیویورک انجام شده به این جمع‌بندی رسیده است که به جای تلاش مداوم برای شکار و نابودی کردن باگ‌ها، بهتر است به برنامه‌ها یک باگ پوشالی(chaff bug) افزوده شود تا ایمن‌تر شوند.
با «باگی‌تر» کردن نرم‌افزار، هکرها را می‌توان فریب داد و بدین طریق درگیر تعداد زیادی باگ در یک سیستم کرد تا نهایتا خسته شده و دست از تلاش بردارند.
 
به گزارش گرداب، این گزارش ذکر نموده است که باگ‌های پوشالی را می‌توان وقتی به عنوان «غیرقابل سوءاستفاده» طراحی نمود که نحوه آشکار شدن باگ‌ها به صورت محدود و کنترل شده باشند. تحت این شرایط، باگ‌های پوشالی تنها در بدترین حالتشان می‌توانند به یک سیستم آسیب جدی بزنند.
 
یک استادیار دانشگاه نیویورک به نام Dolan-Gavitt در مصاحبه با سیودایو گفت که برای پیاده‌سازی آنها، توسعه دهندگان باید برنامه‌ای را در اختیار داشته باشند که خودشان نوشته‌اند و بسته است، و سپس کمیت بالایی از باگ‌های پوشالی را به آن بیافزایند. این باگ‌ها واقعی و تعمدا قابل شناسایی هستند.
 
در این گزارش آمده است که زبان‌های برنامه‌نویسی فاقد «تضمین‌های ایمنی حافظه»، مانند C و C++، غالبا قربانی خطاهای برنامه نویسی می‌شوند که منتج به بروز اشکال در حافظه می‌شود. باگ‌های حاصله فرصت مناسبی در اختیار کسانی که نیات بدی دارند قرار می‌دهند.
 


سوء استفاده از یک باگ یک فرایند دستی و معمولا زمان‌بر است. همین موضوع برای شناسایی باگ‌های بالقوه نیز صدق می‌کند. فارغ از اینکه چه مقدار پیشرفت در شناسایی خودکار حاصل شده باشد، تضمینی نیست که همه باگ‌ها قابل شناسایی باشند.
 
با این حال، از دیدگاه Dolan-Gavitt، توجه به حجم مهارت‌ها و زمان مورد نیاز برای سوء استفاده از یک باگ برای امنیت اهمیت اساسی دارد. این همیشه «به داشتن یک ذهنیت اقتصادی» برای امنیت سایبری کمک می‌کند؛ و تمرکز این تحقیق بر این نکته بوده است.
 
افزودن باگ‌های پوشالی اساسا با هدف از بین بردن بازدهی سرمایه‌گذاری بدخواهان انجام می‌شود چرا که، به گفته وی، مداما مواجه شدن با یک باگ پوشالی «دشمن را سردرگم و گیج می‌کند».
 
ولی Dolan-Gavitt هشدار می‌دهد که این تحقیق «هنوز برای آزمودن در دنیای واقعی کاملا مناسب نیست» زیرا هنوز «مشکلاتی عملی» وجود دارند که باید راهکاری برایشان یافته شود. به عنوان مثال، باگ‌های پوشالی ظاهری مصنوعی دارند و «هکرها ممکن است ماهرتر از حد معمول باشند.»
همچنین استفاده از آنها ممکن است تاثیری منفی بر محققان امنیتی «صادق» داشته باشد که با میدان مینی پر از باگ‌های جعلی مواجه می‌شوند.
منبع: ایتنا
برچسب ها: باگ امنیتی باگ امنیت اطلاعات دفاع سایبری باگ پوشالی
گزارش خطا
ارسال نظر
نظر شما :
غیر قابل انتشار: ۰
در انتظار بررسی: ۰
انتشار یافته: ۰
captcha
جرائم اینترنتی ۱۵ آبان

شناسایی آسیب پذیری تورمیل در مرورگر تور

به تازگی یک آسیب‌پذیری خطرناک در مرورگر تور ایجاد شده است که آی‌پی واقعی افراد را شناسایی و فاش می‌کند.
شرکت‌های فناوری ۲۰ خرداد

رسوایی دوباره فیس‌بوک این بار گردن باگ نرم‌افزاری افتاد

فیس‌بوک اذعان کرده که یک باگ نرم‌افزاری علت افشای اطلاعات شخصی و حریم خصوصی ۱۴ میلیون کاربر فیس‌بوکی بوده است.
جرائم اینترنتی ۱۷ تير

دزدی پیام‌رسان سامسونگ از تصاویر کاربران/ دسترسی‌ را غیرفعال کنید

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به سرقت تصاویر شخصی کاربران توسط پیام‌رسان برخی گوشی‌های سامسونگ هشدار داد و از کاربران خواست دسترسی به حافظه گوشی را غیرفعال کنند.
جرائم اینترنتی ۲۱ مرداد

اپلیکیشنهای کارخانه ای عامل هک موبایلهای اندرویدی

تحقیقی جدید نشان می دهد سیستم عامل و نرم افزارهایی که در کارخانه روی موبایل ها نصب می شوند، دستگاه های اندروید را در معرض خطر هک قرار می دهند.
مطالب بیشتر