среда, 2 сентября 2015 г.

Многие критические бреши идентифицируются при помощи «фаззинга»

На втором месте оказались решения для диагностики памяти ASAN и Valgrind.
Эксперт отдела безопасности Google Михал Залевски (Michał Zalewski), также известный как ‘lcamtuf’, провел небольшое исследование, в ходе которого попытался выяснить, какие методы были использованы для обнаружения большинства критических уязвимостей.
image
«Наша индустрия имеет тенденцию приукрашивать процесс поиска брешей, нередко сопровождая отчеты об уязвимостях показными пресс-конференциями, публикациями в СМИ и эксклюзивными интервью, - написал Залевски в своем блоге. - Однако несмотря на всю шумиху, рядовые пользователи имеют сравнительно небольшое представление о том, каких усилий требует обнаружение сотен уязвимостей, которые ежегодно появляются в ПО, от которого мы все зависим».
Залевски проанализировал бреши, которым был присвоен идентификатор CVE, и создал список опасных брешей, затрагивающих наиболее распространенное программное обеспечение. Далее ‘lcamtuf’ разослал лицам, обнаружившим данные уязвимости, анонимные опросники, в которых просил указать метод, который использовался (анализ вручную, автоматизированный поиск или просто удача). Также исследователя интересовал способ, используемый для демонстрации воздействия уязвимости, метод общения с производителем ПО, мотивация и время, потраченное на проект.
На данный момент специалист получил порядка 80% ответов, но, судя по ним, одним из наиболее распространенных методов является «фаззинг» (fuzzing) -  автоматическое создание и оценка входных данных для поиска уязвимостей. Причем самым популярным инструментом оказался American Fuzzy Lop (AFL), который был разработан самим Залевски. На втором месте оказались решения для диагностики памяти ASAN и Valgrind.
Что интересно, наибольшее количество уязвимостей было раскрыто исследователями, специально нанятыми вендорами для этой цели. Как отметил Залевски, широкой общественности становится известно далеко не о всех брешах – некоторые из них выявляются внутренними командами безопасности производителей, и информация о них не раскрывается.

Источник:  securitylab.ru

Комментариев нет:

Отправить комментарий