Accelerating Modern Gre ybox Fuzzers
Computerwetenschapper Elia Geretto optima liseerde een belangrijke tool die helpt software te beveiligen.
Programma's hebben kwetsbaarheden die door een aanvaller ku nnen worden gebruikt om controle te krijgen over de computers waarop ze draaien. Dit betreft vaak eenvoudige fouten die programmeurs hebbe n gemaakt bij het schrijven van code. Om deze te elimineren, beoordel en en testen beveiligingsexperts code om kwetsbaarheden te vinden en te verhelpen. Experts gebruiken vaak tools die dit proces gedeeltelij k kunnen automatiseren, zodat ze meer code met minder moeite kunnen v erkennen.
Fuzzers
Het onderzoek van compute
rwetenschapper Elia Geretto richt zich op het verbeteren van fuzzers,
een van zulke tools. Specifiek maakt het ze sneller. Het kernprincip
e van een fuzzer is om willekeurige input aan een programma te geven
en te kijken hoe het zich gedraagt. De snelheid van zo’n fuzzer is
een zeer belangrijke eigenschap, omdat een snellere fuzzer meer wille
keurige input kan genereren en zo het programma grondiger kan testen.
De belangrijkste conclusie die Geretto uit zijn onderzoek kan trekken is dat de optimalisaties die hij voorstelt voor drie specifie ke soorten fuzzers, namelijk snapshot fuzzers, hybride fuzzers en ger ichte fuzzers, hun snelheid verhogen. Bovendien heeft hij aangetoond dat de behaalde snelheidsverhogingen resulteren in fuzzers die progra mma's grondiger kunnen verkennen. Tenslotte laat hij zien dat het bou wen van snelle fuzzers ook helpt bij het trekken van passende conclus ies bij het evalueren van andere optimalisaties, omdat hun effect var ieert met de snelheid.
Telefoons en laptops
Geretto's onderzoek is belangrijk voor beveiligingsonderzoekers. Zij
n optimalisaties zijn allemaal online openbaar toegankelijk en kunnen
worden geïntegreerd in bestaande fuzzers om ze sneller te maken. De
ze verbeterde fuzzers zullen beveiligingsonderzoekers helpen code gro
ndiger te beoordelen en zo het aantal kwetsbaarheden in uitgegeven so
ftware te verminderen.
Minder kwetsbaarheden in software beteke nt bovendien dat de bevindingen ook invloed hebben op algemene gebrui kers. Zowel de apparaten die we dagelijks gebruiken, zoals telefoons en laptops, als de servers in de cloud die onze gegevens beheren, zul len veiliger worden.
Geretto's onderzoek kan grofweg in vier st appen worden verdeeld: ten eerste ontwierp hij een optimalisatie waar van hij dacht dat deze de snelheid van een bestaande fuzzer zou kunne n verbeteren. Vervolgens implementeerde hij die optimalisatie door co de te schrijven om die bestaande fuzzer te wijzigen. Daarna voerde hi j experimenten uit om de prestaties van de fuzzer met en zonder de op timalisatie te vergelijken. Tenslotte analyseerde hij de verzamelde g egevens met statistische methoden om te bewijzen dat zijn optimalisat ie de prestaties van de fuzzer inderdaad verbeterde.
Meer infor matie over het
DESCRIPTION: Computerwetenschapper Elia Geretto optimaliseerde een belangrijke tool die helpt software te beveiligen. Prog ramma's hebben kwetsbaarheden die door een aanvaller kunnen worden ge bruikt om controle te krijgen over de computers waarop ze draaien. Di t betreft vaak eenvoudige fouten die programmeurs hebben gemaakt bij het schrijven van code. Om deze te elimineren, beoordelen en testen b eveiligingsexperts code om kwetsbaarheden te vinden en te verhelpen. Experts gebruiken vaak tools die dit proces gedeeltelijk kunnen autom atiseren, zodat ze meer code met minder moeite kunnen verkennen.