باگ، خوب یا بد؟

تزریق باگ اضافی به سیستم برای افزایش امنیت

تزریق باگ اضافی به سیستم برای افزایش امنیت
تاریخ انتشار : ۲۷ مرداد ۱۳۹۷

افزودن باگ‌های پوشالی اساسا با هدف از بین بردن بازدهی سرمایه‌گذاری بدخواهان انجام می‌شود چرا که مداما مواجه شدن با یک باگ پوشالی «دشمن را سردرگم و گیج می‌کند».

یک تحقیق جدید که توسط پژوهشگرانی از دانشگاه نیویورک انجام شده به این جمع‌بندی رسیده است که به جای تلاش مداوم برای شکار و نابودی کردن باگ‌ها، بهتر است به برنامه‌ها یک باگ پوشالی(chaff bug) افزوده شود تا ایمن‌تر شوند.
با «باگی‌تر» کردن نرم‌افزار، هکرها را می‌توان فریب داد و بدین طریق درگیر تعداد زیادی باگ در یک سیستم کرد تا نهایتا خسته شده و دست از تلاش بردارند.
 
به گزارش گرداب، این گزارش ذکر نموده است که باگ‌های پوشالی را می‌توان وقتی به عنوان «غیرقابل سوءاستفاده» طراحی نمود که نحوه آشکار شدن باگ‌ها به صورت محدود و کنترل شده باشند. تحت این شرایط، باگ‌های پوشالی تنها در بدترین حالتشان می‌توانند به یک سیستم آسیب جدی بزنند.
 
یک استادیار دانشگاه نیویورک به نام Dolan-Gavitt در مصاحبه با سیودایو گفت که برای پیاده‌سازی آنها، توسعه دهندگان باید برنامه‌ای را در اختیار داشته باشند که خودشان نوشته‌اند و بسته است، و سپس کمیت بالایی از باگ‌های پوشالی را به آن بیافزایند. این باگ‌ها واقعی و تعمدا قابل شناسایی هستند.
 
در این گزارش آمده است که زبان‌های برنامه‌نویسی فاقد «تضمین‌های ایمنی حافظه»، مانند C و C++، غالبا قربانی خطاهای برنامه نویسی می‌شوند که منتج به بروز اشکال در حافظه می‌شود. باگ‌های حاصله فرصت مناسبی در اختیار کسانی که نیات بدی دارند قرار می‌دهند.
 


سوء استفاده از یک باگ یک فرایند دستی و معمولا زمان‌بر است. همین موضوع برای شناسایی باگ‌های بالقوه نیز صدق می‌کند. فارغ از اینکه چه مقدار پیشرفت در شناسایی خودکار حاصل شده باشد، تضمینی نیست که همه باگ‌ها قابل شناسایی باشند.
 
با این حال، از دیدگاه Dolan-Gavitt، توجه به حجم مهارت‌ها و زمان مورد نیاز برای سوء استفاده از یک باگ برای امنیت اهمیت اساسی دارد. این همیشه «به داشتن یک ذهنیت اقتصادی» برای امنیت سایبری کمک می‌کند؛ و تمرکز این تحقیق بر این نکته بوده است.
 
افزودن باگ‌های پوشالی اساسا با هدف از بین بردن بازدهی سرمایه‌گذاری بدخواهان انجام می‌شود چرا که، به گفته وی، مداما مواجه شدن با یک باگ پوشالی «دشمن را سردرگم و گیج می‌کند».
 
ولی Dolan-Gavitt هشدار می‌دهد که این تحقیق «هنوز برای آزمودن در دنیای واقعی کاملا مناسب نیست» زیرا هنوز «مشکلاتی عملی» وجود دارند که باید راهکاری برایشان یافته شود. به عنوان مثال، باگ‌های پوشالی ظاهری مصنوعی دارند و «هکرها ممکن است ماهرتر از حد معمول باشند.»
همچنین استفاده از آنها ممکن است تاثیری منفی بر محققان امنیتی «صادق» داشته باشد که با میدان مینی پر از باگ‌های جعلی مواجه می‌شوند.
منبع: ایتنا