Калифорнийская компания Shape Security изобрела новый способ защиты сайтов от взлома. Они предлагают использовать полиморфные веб-страницы, код которых постоянно изменяется и обфусцируется с помощью специального программного обеспечения. Предполагается, что такой полиморфизм затруднит автоматическое сканирование сайта на уязвимости и если не остановит злоумышленников, то хотя бы усложнит им работу.
Речь идет о программном обеспечении ShapeShifter (shape-shifter — оборотень, фантастическое существо, способное принимать любую форму, одна из доминирующих рас в сериале Star Trek).
Программно-аппаратный комплекс ShapeShifter — это черная коробочка, которую подключают серверу в дата-центре. Она изменяет код страниц в реальном времени, получая их от сервера в оригинальном виде и отправляя в браузеры пользователей модифицированную версию.
Программа использует разные способы обфускации контента, в том числе изменение названий полей, обфускация JavaScript, CSS и др. На полиморфных страницах труднее публиковать спам и осуществлять другие автоматизированные атаки. По крайней мере, ботам нужно быть достаточно умными, чтобы парсить обфусцированные скрипты и расшифровывать названия полей.
Принцип работы ShapeShifter показан на видео.
Нужно добавить, что основатели компании — бывшие сотрудники Google, работавшие в отделе по борьбе с кликфродом. Shape Security уже получила венчурные инвестиции в размере $26 млн.
