Американські науковці пропонують відвернутися від сучасної ідеології програмування та, навпаки, додати у програмне забезпечення більше «дірок». Так зловмисник витрачатиме час на вивчення спеціально створених слабких місць у ПЗ і не зможе приділити увагу дійсно небезпечним вразливостям.
Команда дослідників з Університету Нью-Йорка під керівництвом доцента комп’ютерних наук Брендана Гевіта пропонує вбудовувати в програми велику кількість несправжніх багів. Це не новий метод – подібний існує і використовується при тестуванні програмного забезпечення. Штучні баги використовують для того, щоб оцінити ефективність тестування, знаючи загальну кількість штучних «дірок» та знайдену їхню кількість.
Гевіт подумав, що це також гарний спосіб захисту програмного забезпечення. «Знайшовши баг, потрібно буде багато часу, щоб зрозуміти, чи можна його якось використати, – каже науковець. – Якщо вбудувати велику кількість «дірок», які майже не відрізняються від реальних, хакерам знадобиться багато часу на їхнє дослідження. У зловмисників може згодом зникнути бажання атакувати через великі обсяги роботи».
У запропонованого методу є суттєві обмеження у використанні. Він не підходить для програм із відкритим вихідним кодом, оскільки зловмисники можуть легко відкрити ці файли та прочитати всі фейкові «діри». Також, оскільки підробним багам необхідно зовні поводитися як справжнім, з падінням та збоями додатків включно, цей метод не рекомендується використовувати у критичних системах, наприклад, фінансових чи транспортних.
Дослідницька команда продемонструвала свою ідею, вбудувавши нешкідливу «діру» в реальне програмне забезпечення. Експеримент показав, що навіть при появі великої кількості штучних багів швидкість виконання програмного забезпечення практично не знижується. Наступна мета вчених – створити інструмент, який автоматизує розробку додатків із несправжніми багами.
