 fox
II/IDEC networks :: habra.16 :: / Security Week 49: Google фаззит опенсорс, Android-троян крадет учетные записи, Microsoft чинит старый баг
|
Login |
[#]
Security Week 49: Google фаззит опенсорс, Android-троян крадет учетные записи, Microsoft чинит старый баг
habrabot(difrex,1) — All
2016-12-10 19:00:04
![][1]1 декабря команда специалистов по безопасности Google анонсировала новую программу OSS-Fuzz в рамках которой планирует выделить ресурсы на непрерывный фаззинг ПО с открытым исходным кодом ([новость][2], [пост ][3]в блоге Google Security). Фаззинг — это метод автоматизированного тестирования программ, идея которого была сформулирована еще в конце 80-х ([PDF][4]). С ростом производительности компьютеров достаточно прямолинейный процесс скармливания софту произвольных данных в поиске уязвимостей становится все актуальнее. Да и вообще, в мире где компьютерами все чаще управляют другие компьютеры, это годная тема, уже включенная, например, в методику [Secure Development Lifecycle][5] у Microsoft.
Объясняя успешность подхода именно по отношению к свободному ПО, в Google приводят [пример][6] уязвимости в библиотеке Freetype, обнаруженной фаззером OSS-Fuzz. Freetype установлена на миллиардах устройств, и поэтому исследовать такой софт важно. Серьезные уязвимости в опенсорсе вроде Heartbleed показали, что сама возможность независимого аудита не равняется повышенной безопасности. У людей просто не хватает рук проанализировать все, поэтому на сцену выходят роботы. Странно, что в Google ничего не рассказывают про фаззинг Android, хотя исследователи из других компаний таки этим [занимаются][7].
На самом деле главная польза проекта заключается в том, что Google приглашает сторонних исследователей и мейнтейнеров открытого софта, по сути предоставляя им вычислительные ресурсы в рамках проекта. В своих [впечатлениях ][8]исследователь и разработчик Алекс Гэйнор пишет, что меньше чем за день его тестовый код, добавленный в OSS-Fuzz, обработал 17 триллионов тестовых кейсов, на что в домашних условиях у него ушел бы месяц.
[Читать дальше →][9]
[1]: https://habrastorage.org/files/24d/53a/75f/24d53a75faf04d239ae0425de42f5ff3.jpg
[2]: https://threatpost.com/google-debuts-continuous-fuzzer-for-open-source-software/122250/
[3]: https://security.googleblog.com/2016/12/announcing-oss-fuzz-continuous-fuzzing.html?m=1
[4]: http://pages.cs.wisc.edu/~bart/fuzz/CS736-Projects-f1988.pdf
[5]: https://www.microsoft.com/en-us/sdl/
[6]: https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=53
[7]: https://www.blackhat.com/docs/eu-15/materials/eu-15-Blanda-Fuzzing-Android-A-Recipe-For-Uncovering-Vulnerabilities-Inside-System-Components-In-Android-wp.pdf
[8]: https://alexgaynor.net/2016/dec/03/oss-fuzz-initial-impressions/
[9]: https://habrahabr.ru/post/317272/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-12-10 19:00:04
![][1]1 декабря команда специалистов по безопасности Google анонсировала новую программу OSS-Fuzz в рамках которой планирует выделить ресурсы на непрерывный фаззинг ПО с открытым исходным кодом ([новость][2], [пост ][3]в блоге Google Security). Фаззинг — это метод автоматизированного тестирования программ, идея которого была сформулирована еще в конце 80-х ([PDF][4]). С ростом производительности компьютеров достаточно прямолинейный процесс скармливания софту произвольных данных в поиске уязвимостей становится все актуальнее. Да и вообще, в мире где компьютерами все чаще управляют другие компьютеры, это годная тема, уже включенная, например, в методику [Secure Development Lifecycle][5] у Microsoft.
Объясняя успешность подхода именно по отношению к свободному ПО, в Google приводят [пример][6] уязвимости в библиотеке Freetype, обнаруженной фаззером OSS-Fuzz. Freetype установлена на миллиардах устройств, и поэтому исследовать такой софт важно. Серьезные уязвимости в опенсорсе вроде Heartbleed показали, что сама возможность независимого аудита не равняется повышенной безопасности. У людей просто не хватает рук проанализировать все, поэтому на сцену выходят роботы. Странно, что в Google ничего не рассказывают про фаззинг Android, хотя исследователи из других компаний таки этим [занимаются][7].
На самом деле главная польза проекта заключается в том, что Google приглашает сторонних исследователей и мейнтейнеров открытого софта, по сути предоставляя им вычислительные ресурсы в рамках проекта. В своих [впечатлениях ][8]исследователь и разработчик Алекс Гэйнор пишет, что меньше чем за день его тестовый код, добавленный в OSS-Fuzz, обработал 17 триллионов тестовых кейсов, на что в домашних условиях у него ушел бы месяц.
[Читать дальше →][9]
[1]: https://habrastorage.org/files/24d/53a/75f/24d53a75faf04d239ae0425de42f5ff3.jpg
[2]: https://threatpost.com/google-debuts-continuous-fuzzer-for-open-source-software/122250/
[3]: https://security.googleblog.com/2016/12/announcing-oss-fuzz-continuous-fuzzing.html?m=1
[4]: http://pages.cs.wisc.edu/~bart/fuzz/CS736-Projects-f1988.pdf
[5]: https://www.microsoft.com/en-us/sdl/
[6]: https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=53
[7]: https://www.blackhat.com/docs/eu-15/materials/eu-15-Blanda-Fuzzing-Android-A-Recipe-For-Uncovering-Vulnerabilities-Inside-System-Components-In-Android-wp.pdf
[8]: https://alexgaynor.net/2016/dec/03/oss-fuzz-initial-impressions/
[9]: https://habrahabr.ru/post/317272/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut