Fake-Sicherheitslücken sollen Malware-Autoren zum Aufgeben bringen

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr

Um Kriminelle in die Irre zu führen, haben Informatiker jetzt vorgeschlagen, Software mit Fake-Sicherheitslücken auszustatten, die nicht sinnvoll auszunutzen sind. Der Idee zufolge sollen beispielsweise Malware-Autoren so Zeit und Ressourcen vergeuden und vielleicht gar nicht erst einen funktionierenden Schadcode mit hinnehmbarem Arbeitsaufwand zum Laufen bekommen. Ein Konzept zur Umsetzung der Idee hat das Team von Informatikern von der New York University auch schon entworfen. Demnach soll es keineswegs so sein, dass Entwickler sich statt mit der Verbesserung ihres Codes damit beschäftigen sollen, sich scheinbare Sicherheitslücken auszudenken. Vielmehr will man diese mit einem automatisierten System in den Code integrieren.

Mit einem solchen Programm beschäftigen sich die Informatiker schon seit einiger Zeit und haben ihre Ergebnisse auch immer wieder mit diversen gängigen Tools zum Auffinden von Sicherheitslücken überprüft. Dieses ging aus einer Arbeit hervor, bei dem man die Fehler eigentlich einbauen wollte, um ebensolche Debugging-Werkzeuge zu testen.

Windows 10: So nutzt man den Ransomware- und Exploit-Schutz

Zeitverschwendung ist zu teuer

Dass das Konzept funktionieren könnte, macht Brendan Dolan-Gavitt, einer der beteiligten Forscher, an praktischen Erfahrungen in seinem Umfeld fest. "Ich habe mehrere Freunde, die Exploits entwickeln", erklärte er. So etwas tun nämlich keineswegs nur Kriminelle, sondern auch Sicherheitsexperten, wenn sie herausfinden wollen, welche Probleme ein Bug verursachen kann. Und, so führte Dolan-Gavitt aus, es stecke noch eine Menge Arbeit und Zeit zwischen dem Finden eines Bugs und der Fertigstellung eines passenden Exploits.

"Leute, die Exploits schreiben können, gibt es nicht so oft und ihre Dienste sind teuer - da kann man sich vorstellen, welchen Effekt es hat, wenn ihre Arbeit einfach verschwendete Zeit ist", so der Informatiker weiter. Fake-Bugs könnten also dazu führen, dass Entwickler viel Arbeit investieren, ohne dass ein Ergebnis herauskommt. Und das soll Malware-Autoren dann dazu bringen, die Finger von einem bestimmten Programm zu lassen.