你没听错！科学家说给软件加一些 bug 更安全

“蜜罐”，作为一个放蜜糖的容器最初是被设计用来抓熊的。

在 1986 年——尽管当时网络世界并不发达——“网络蜜罐”出现了。

在大学的实验室担任“网管”的天文学博士 Clifford Stoll 发现有人蹭网，一番研究之后竟然是网络黑客所为。为了抓到这伙人，Clifford 设计了一个假文件夹，里面装有黑客想要的情报信息，在黑客“攻击得手”获得了文件之后，Clifford 成功将黑客定位，最终揪出一个间谍团伙。

传送门：

因为被蹭网 9 秒钟，这个天文学家愣是把黑客黑了，还揪出一个跨国间谍组织

现在“蜜罐”已经是一种常见的安全资源，被当做入侵诱饵，引诱黑客攻击来收集证据和信息，从一个 Word 文档到 Web 业务、SSH 应用蜜罐等等。

但是你听说过故意在软件中添加 bug 用来防御黑客攻击的吗？且不说，产品经理可能第一个不答应！

最近，来自纽约大学的安全研究人员发明了一种名为Chaff Bugs 的防御新技术，通过添加大量不明显且不可利用的漏洞，以此影响攻击者发现并利用漏洞进行攻击的过程，导致攻击者浪费时间和精力在试图构建有效的漏洞利用上。最终，攻击者可能会对寻找到真正的漏洞丧失兴趣。

编写漏洞利用的确是一个耗时的过程，其中包括对系统存在的漏洞进行挖掘、决定它们是否能被利用、编写一个漏洞利用然后将它们植入系统中去。如下图所示：

研究者已经构造出几种不可利用的 bug，并将它们植入到数千个真实存在的大型软件中，同时它们并不影响软件功能，研究者发现这种新型欺骗防御技术确实浪费了攻击者“最为宝贵”的时间资源。

这种看似“大智若愚”的方法最终能够拖延攻击者和全自动的网络推理系统的攻击。

感兴趣的同学可以在线查看论文：https://arxiv.org/pdf/1808.00659.pdf（复制地址，然后通过浏览器打开）

安全漏洞始终存在。

科技媒体 TechReview 曾经撰文称，如果你能接受低成本的生活，漏洞猎人是个不坏的选择。

文中介绍了一名生活在菲律宾的白帽子 Ricafort，他是一名漏洞猎人——通过提交安全漏洞赚取奖励。在过去四年中，他发现了包括苹果、谷歌、微软、雅虎、IBM 在内 200 多家公司的安全漏洞。而据他透露，平均每个月他得到的收入大约为 187 美元，和他所在国家的平均工资持平。情况好的时候，一个月可能可以赚 374 至 561 美元。最多的一次，奖励有五千美元。

对于漏洞猎人而言，收入是不稳定的，特别是在生活成本较高的其他国家，也因此许多白帽子可能是出于兴趣在业余时间寻找漏洞。但是无论哪种方式，白帽子热爱这种发现和消灭漏洞带来的成就感。

GeekPwn 黑客大赛的出现也是为了让有这份热爱和技术的人登上属于自己的舞台，成为荣耀的“黑客 101”。不是学校里的怪胎、生活中的奇葩，更不是默默无闻的路人甲乙丙，那些成就都值得获得欢呼和鼓励。

如果你喜欢挑战自己，GeekPwn2018 开启的全新赛制或许正是你的菜！

不同挑战赛的对应截止时间如下所示，欢迎大家前往 2018.geekpwn.org 了解详细规则：