Чим більше вразливостей у системі, тим надійніше вона захищена

Як не парадоксально це звучить, але чим більше вразливостей у системі, тим надійніше вона захищена. Якщо при розробці навмисне додати в продукт підроблені вразливості, що не експлуатуються, хакерам доведеться витратити багато часу і ресурсів у спробах здійснити атаку з їх допомогою. У результаті, так і не досягши успіху, зловмисники залишать спроби ще до того, як знайдуть справжню вразливість.

Ідея захисту ПЗ за допомогою підроблених уразливостей викладена у дослідженні фахівців Політехнічного інституту Нью-Йоркського університету (США). Спочатку дослідники розробили техніку для автоматичного «засівання» програм підробленими багами з метою тестування та поліпшення роботи систем виявлення вразливостей. Однак потім фахівці вирішили вивчити інші можливі способи застосування свого винаходу.

Програмістів, які займаються написанням експлоїтів, не так багато, і їхній час дорого коштує. Якщо змусити їх витрачати свої сили та час марно, можна убезпечити систему, дійшли висновку дослідники.

Як би там не було, але через низку обмежень техніка «засівання» ПЗ фальшивими багами може так ніколи і не стати широко використовуваною. По-перше, вона не підходить для програмного забезпечення з відкритим вихідним кодом. По-друге, розробники повинні бути повністю впевненими в тому, що додана ними вразливість по-справжньому нешкідлива і не пов'язана з реальними. По-третє, техніка працює тільки в тому випадку, якщо допустиме аварійне завершення роботи ПЗ в результаті введення шкідливих даних.