Kyberdiverzita zvýší bezpečnost

Tažení proti softwarovým monokulturám Vědci ze dvou amerických univerzit získali od agentury National Science Foundati...


Tažení proti softwarovým monokulturám
Vědci ze dvou amerických univerzit získali od agentury National Science
Foundation grant na výzkum, který by měl zvýšit diverzitu používaného softwaru
a omezit dopad bezpečnostních kalamit.
Kusy kódu napsané a odladěné pro jednu konkrétní chybu jednoho konkrétního
systému páchají v době internetu nedozírné škody především kvůli obrovskému
rozšíření svých cílů webových serverů, operačních systémů, databází...
Netýká se to jen programů firmy Microsoft, v podstatě jakýkoliv dostatečně
rozšířený produkt fungující ve vazbě na internet představuje potenciální
riziko. Pro útočníka se jedná o lákadlo v podobě hromadného zásahu, a tak je
motivován pátrat po zatím neznámých chybách (a software bez chyby neexistuje).
Viry a červy stačí vybavit efektivním distribučním mechanismem a o vše ostatní
se postará vzájemně provázaná síť těchto softwarových monokultur.
Jak současnou neutěšenou situaci řešit? Vědci z americké Carnegie Mellon
University a University of New Mexico získali od federální agentury National
Science Foundation (NSF) grant ve výši 750 000 dolarů určený na projekt
mapující možnosti vyšší "kyberdiverzity."

Stejné rozhraní
Výzkumníci se podle tiskové zprávy NSF zaměří na možnosti modifikací části
programového kódu aplikací tak, aby zůstala zachována funkčnost směrem k
uživateli, ale zároveň se eliminovalo sdílení stejných slabých míst (či
backdoors) mezi instancemi téhož programu. Tyto zásahy by sice neochránily
jeden konkrétní počítač proti zneužití chyby v konkrétní instalaci, ale
poskytly by větší odolnost proti hromadnému útoku s využitím internetu.
"Spousta bezpečnostních problémů souvisí s faktem, že dnešní systémy sdílejí
stejné slabiny," uvedl Carl Landwehr, ředitel Cyber Trust programu v NSF. "Na
počítače se díváme tak, jako se lékaři dívají na geneticky příbuzné pacienty:
Všichni jsou náchylní k téže nemoci," dodává k tomu Mike Reiter, profesor
elektrotechnického a počítačového inženýrství na univerzitě Carnegie Mellon. "V
diverzifikovanější populaci by si nemoc sice také mohla najít svoji oběť, ale
ostatní by k ní nemuseli být tak náchylní."

Hrozba přetečení
Zatím není příliš jasné, jak chtějí vědci dosáhnout svého cíle asi nejde o to
generovat při každé instalaci aplikace náhodné backdoory navíc. Jednou z
možností obrany proti často zneužívanému problému "buffer overflow" (přetečení
zásobníku úmyslným zápisem takové hodnoty, se kterou autoři programu
nepočítali) by mohl být třeba zásah do procesu kompilace programu tak, aby
použité datové a jiné struktury a objekty (funkce, knihovny, zásobníky...) měly
pro každou verzi odlišné bázové adresy. Pokud by potenciální útočník zjistil
adresu takto nechráněného zásobníků ve "své" verzi programu, mohl by vyvinout
kód, který by tuto chybu zneužíval, ovšem jen pro svoji instanci napadaného
softwaru. Všichni ostatní uživatelé by totiž používali programy, které by měly
odlišné adresy zadních vrátek a funkcí, které potřebuje útočník použít.
Dřívější pokusy o diverzifikaci softwaru souvisely často se snahou vyvíjet
odlišné verze toho samého programu tak, že jednotlivé verze vytvářely různé
týmy. Předpokládalo se, že u každé z těchto verzí se objeví různé chyby, a
útočník tedy bude moci zasáhnout vždy jen jednu konkrétní verzi dané aplikace.
Tento manuální přístup je ale drahý a trvá dlouho, uvedli vědci zapojení do
nového projektu NSF. Podle Carla Landwehra podporuje NSF také další snahy o
zvýšení počítačové bezpečnosti, např. bezpečné programování či kompilátory. V
roce 2003 věnovala nadace na tyto účely částku v hodnotě okolo 200 milionů
dolarů.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.