Исследователи из Массачусетского технологического института бросают вызов привычной модели борьбы с эксплуатацией уязвимостей в программном и аппаратном обеспечении, заключающейся в применении патчей. При поддержке Управления перспективных исследовательских проектов Министерства обороны США (DARPA) ученые собираются разработать компьютер, способный «перемешивать» данные внутри системы, затрудняя злоумышленникам доступ к данным. Инициатива получила кодовое название MORPHEUS.

По словам Тодда Остина (Todd Austin), профессора компьютерных наук МТИ и руководителя проекта, DARPA выделяет $3,6 млн на создание нового вида компьютера. В рамках MORPHEUS исследователи разрабатывают принцип перемещения данных внутри системы, при котором злоумышленник не сможет эксплуатировать уязвимость, даже обнаружив ее, так как не сможет найти путь к нужным данным. В DARPA уверены, что этот подход поможет отразить большую часть существующих на сегодняшний день атак как на программную, так и на аппаратную оболочку компьютеров.

Эксплуатация любой уязвимости заключается в том, что необходимые взломщику данные всегда находятся в одном месте, и как только ему становится известно их расположение, происходит атака. Как считает Остин, проект MORPHEUS предполагает, что после того, как злоумышленник обнаружит брешь, система «подкинет» новые препятствия на его пути, и в этих условиях наличие уязвимости будет неважно, так как у атакующего не хватит ресурсов на эксплуатацию бага.

В свое время этот подход помог бы эффективно бороться с уязвимостью Heartbleed, затронувшей миллионы машин в 2014 году и оставшейся незакрытой на сотнях тысяч компьютеров и серверов даже год спустя после выпуска патча. Кроме того, MORPHEUS может стать оптимальным решением проблемы уязвимостей нулевого дня.

Военное ведомство определило, что подобный подход позволит упразднить семь классов багов в ПО, предотвращая эксплуатацию 40% уязвимостей, таких как повышение привилегий, ошибки буфера, управление ресурсами, утечки информации, вычислительные ошибки, ошибки шифрования и инжект кода. На решение этих проблем DARPA отводит около пяти лет, но появление системы MORPHEUS может сократить этот срок.

Организация регулярно инвестирует в перспективные разработки в области информационной безопасности. Например, в 2013 году Агентство объявило конкурс на разработку автоматизированной системы поиска и патчинга уязвимостей с призовым фондом в $3,75 млн. Хотя по прошествии трех лет ни одна из команд-участниц, прошедших предварительную квалификацию, не смогла выполнить задачу на 100%, совокупные усилия участников конкурса привели к тому, что все вместе они запатчили почти все уязвимости в тестовом коде.

Также по заказу DARPA в 2014 году исследователи Университета Юты разработали инструмент A3, способный самостоятельно обнаруживать и закрывать уязвимости, а также автоматически устранять повреждения, вызванные атакой, и предотвращать новые заражения.

Категории: Кибероборона, Уязвимости, Хакеры