Sikkerhed: Automatisk generering af exploits
2008-04-23 17:40 af Thomas Damgaard Nielsen -
Forskerme David Brumley, Pongsin Poosankam, Dawn Song og Jiang Zheng fra Carnegie Mellon University har vist, at det givet et program med en ukendt sikkerhedsfejl og en patch der retter denne fejl, er muligt at generere exploits for denne ukendte sårbarhed automatisk (PDF).
Bemærk, at forskerne har vist dette for binære patches. Det vil sige, de effektivt har modbevist påstanden om at hemmelig kildekode forbedrer sikkerheden.
Dette paper må unægteligt være en af de vigtigste stykker forskning inden for IT-sikkerhed nogen sinde.
Det er heller ikke et simpelt program de har skruet sammen; omkring 40.000 linier i C++ og ocaml. Vi ved jo alle at densiteten af ocaml næsten er på højde med perl, så det siger ikke så lidt.
— Christian Iversen 2008-04-23 21:40 #