Fuzzing Was kann im Netz angewandtes Fuzzing erreichen?

Transkript

1 1 Faath Michael, Schäffler Florian - Fuzzing Fuzzing Was kann im Netz angewandtes Fuzzing erreichen? Was ist Fuzzing? Fuzzing ist eine Software-Testing-Technik, Technik, welche eine automatische Suche nach Fehlern ermöglicht. Viele in den letzten Jahren entdeckte Fehler sind mithilfe dieser Technik zutage gekommen. Dafür werden zufällige bzw. semi-zufällige Daten genutzt, um z.b. ein Programm zum Absturz zu bringen. Mit semi- oder auch halbzufälligen Daten ist folgendes gemeint: "good enough so it'll look like valid data, bad enough so it might break stuff" Quelle: 22c3: Fuzzing Fuzzing - Breaking software in an automated fashion (2006), Fuzzing ist eine Blackbox-Testing-Technik, nik, dies bedeutet, es wird ohne zusätzliche Informationen wie z.b. den Quellcode eines Programmes oder die Konfiguration, getestet. Man konzentriert sich auf die fertige Anwendung. Was bringt Fuzzing? Primär kann Fuzzing dazu genutzt werden, seine eigenen en Programme auf Fehler zu überprüfen. Aber auch das lahmlegen von fremden Programmen und Diensten ist eine Anwendungsmöglichkeit. Durch genauere Analyse der gefundenen Fehlfunktionen kann es auch möglich werden, Code einzuschleusen. Ein kurzer geschichtlicher icher Abriss Fuzzing wurde von Professor Barton Miller zusammen mit Studenten an der Universität von Winsconsin-Madison im Jahre 1989 entwickelt. Sie testeten verschiedene UNIX-Programme, indem sie automatisiert zufällige Parameter übergaben. Ein Drittel aller getesteten Programme stürzten dabei ab. Was kann man alles Fuzzen? Weit verbreitet ist die Meinung, man könne nur HTTP fuzzen. Doch ist dies schlicht und ergreifend falsch, es können so gut wie alle Dinge gefuzzed werden, die in irgendeiner Art Eingaben erwarten. Sei es durch Argumente, Umgebungsvariablen, die Standardeingabe (stdin) etc. Hier eine kleine Auflistung, was gefuzzed werden kann: Netzwerkprotokolle / Netzwerkanwendungen Argumente, Umgebungsvariablen, stdin, file-descriptors APIS (syscalls, library calls) Dateien Es lassen sich also neben Webanwendungen auch Netzwerkprotokolle aber auch lokale Programme mithilfe der Konsole oder über von Ihnen geöffnete Dateien fuzzen. Fuzzer-Typen Prinzipiell kann man zwischen zwei Arten von Fuzzern unterscheiden: Solche die speziell für einen Zweck, also ein Protokoll oder eine Anwendung, geschrieben wurden Fuzzing-Frameworks, Frameworks, welche Funktionen zum Bau eines eigenen Fuzzers beinhalten

2 2 Faath Michael, Schäffler Florian - Fuzzing Wie funktioniert Fuzzing? Es werden zufällige Daten (z.b. an eine Anwendung) gesendet, hier gibt es zwei Möglichkeiten, wie bereits erwähnt: 1. Es werden völlig zufällige Daten gesendet So ist es möglich, eine Vielzahl von Fehlern aufzudecken. Jedoch braucht man dafür viel Zeit, da der komplette Raum von möglichen Eingaben durchgegangen wird. Dies kann im Prinzip unendlich lange gemacht werden, so dass man Glück benötigt, frühzeitig einen Treffer zu landen. 2. Vorherige Analyse der möglichen Eingabe-Daten Man begrenzt den Eingaberaum, indem man sich z.b. die Anwendung oder das Protokoll genauer anschaut. Viele Anwendungen/Protokolle filtern direkt Eingaben, welche nicht in ein bestimmtes Schema passen. Bei dieser Methode werden also zufällig generierte Daten in ein bestimmtes Schema eingebettet, so dass diese das Programm annimmt. Hierbei können jedoch Fehler übersehen werden, da wir nicht alle Möglichkeiten durchgehen. Außerdem unterscheidet et man in 3 Methoden, mit welchen Fuzzing betrieben werden kann: 1. Manuelles Fuzzen Jede Eingabe wird manuell generiert und abgesendet, dadurch hat der Benutzer die größtmögliche Kontrolle und kann alle Reaktionen selbst analysieren. Diese Methode ist sehr gründlich, erfordert jedoch viel Zeit und Kenntnisse von der Materie. 2. Automatisches Fuzzen Der Fuzzer generiert hier im Gegensatz zum manuellen Fuzzen die Eingaben selbst und sendet diese auch selbstständig an das Programm. Danach muss er analysieren, ob sich die zu testende Anwendung weiterhin normal verhält. Stellt er eine Abweichung fest, wird die Abarbeitung beendet und dem Benutzer das Ergebnis mitgeteilt. Mit dieser Methode lassen sich große Mengen an Eingaben ausprobieren, jedoch können Fehler übersehen werden, falls der Fuzzer diese nicht richtig erkennt und einfach weiter arbeitet. 3. Halbautomatisches Fuzzen Dies stellt einen Mittelweg zwischen dem manuellen und dem automatischen Fuzzen dar. Die Eingaben werden automatisch generiert, die Auswertung übernimmt jedoch der Benutzer. So werden beide Vorteile der ersten Methoden vereint, die Kontrolle bleibt beim Benutzer und es kann schneller gearbeitet werden. Die Geschwindigkeit eines automatischen Fuzzers kann aber bei weitem nicht erreicht werden. Wann ist das Ziel erreicht? Ein Fuzzer hat sein Ziel erreicht, wenn das Programm z.b. hängen bleibt, komplett crasht (also sich ungeplant beendet), der Zielrechner einen Reboot ausführt oder eine übermäßige Speichernutzung festgestellt werden kann. Dann kann der Fehler genauer analysiert werden, ggf. kann so auch Code in das Hostsystem eingeschleust werden.

3 3 Faath Michael, Schäffler Florian - Fuzzing PROTOS ( PROTOS ist kein Programm im eigentlichen Sinne, sondern viel mehr eine ganze Sammlung von Programmen die unter dem Namen PROTOS zusammengefasst und entwickelt werden. Entwickelt wird diese Anwendung an der finnischen Universität Oulu vom Computer Engineering Laboratory seit Dieses Projekt wird seit Beginn von mehreren Unternehmen unterstütz waren diese Unterstützung Euro und 2001 schon Euro. Das PROTOS Projekt ist in einzelne Test-Suites unterteilt, welche jeweils für verschiedene Protokolle und Anwendungen zuständig sind. Was diese Test-Suites von anderen Fuzzern unterscheidet ist nicht nur die Funktionsweise, sondern auch dass allesamt in Java geschrieben sind, weil viele andere Fuzzer entweder in Skript-Sprachen Sprachen oder C geschrieben sind. Des Weiteren ist der Quelltext frei erhältlich und von den einzelnen Test-Suite Seiten herunterladbar. Zu diesen Test-Suites gehören c04-wap-wsp-request, c05-wap-wmlc, wmlc, c05-http-reply, c06-ldapv3, c06-snmpv1, c07-sip, c07-h2250v4, c09-isakmp, c09-dns und c10-archive. Jeder Fehler der bei Tests mit einer Test-Suite aus PROTOS auftritt kann n theoretisch mindestens als Denial of Services ausgebaut werden. Diese Denial of Services können natürlich auch auf gleiche Funktionen abzielen und somit die gleiche Ursache haben. Es handelt sich also nicht nur um unterschiedliche Fehlerquellen. In mehreren ren Fällen ist auch ein Buffer Overflow Exploit möglich. Einblick c05-http-reply: Die Ausführung des Fuzzers verhält sich ziemlich einfach. Ohne vorherige Konfiguration muss nur die Java-Anwendung aufgerufen werden um den Fuzzer zu starten. Dies geschieht mit java -jar c05-http-reply-r1.jar Es wird nun ein kleiner Webserver auf Port 8000 gestartet, welcher HTTP-Anfragen beantwortet, die aus wirklichen HTTP-Daten und zufällig generierten Daten bestehen. Es wird speziell darauf geachtet, dass kritische Informationen miteinander verknüpft werden, da somit Fehler wahrscheinlicher werden. Obwohl die Entwicklung des co5-http-reply schon vor einigen Jahren beendet wurde, wird es noch immer eingesetzt um Browser zu testen. Einblick c06-snmpv1: Ähnlich wie c05-http-reply verhält es sich auch mit dieser Test-Suite bezüglich der Einfachheit. Um ein SNMP-fähiges Gerät zu testen muss man sich nur entscheiden, ob Requests oder Traps fuzzen möchte. Um beispielsweise Requests zu fuzzen wird einfach die Test-Suite c06-snmpv1 gestartet werden. Dies geschieht mittels java -jar c06-snmpv1-req-app.jar -host <HOSTNAME> Nun werden halbzulässige Pakete an gesetzten Hostnamen geschickt, welche darauf abzielen zu testen wo in der jeweiligen SNMP-Implementierung sich Schwachstellen len befinden. Diese Test-Suite dürfte wohl die bekannteste aus dem PROTOS Paket darstellen, da es mit Hilfe dieses Fuzzer gelungen ist schwerwiegende Fehler im SMNPv1 nachzuweisen. Es wurde zum Beispiel eine Möglichkeit entdeckt jedes Gerät, welches SNMPv1 abstürzen zu lassen und bei manchen Implementierungen sogar Code einzuschleusen. Obwohl diese Schwachstelle schon seit geraumer Zeit bekannt ist wird bei vielen Geräten noch immer SNMPv1 benutzt, obwohl SNMPv3 unter Anderem auch dieses strukturelle Problem behebt. Einblick c07-sip-r2: Wie der Name schon sagt handelt es sich hier um die Test-Suite welche versucht das SIP Protokoll für VoIP zu fuzzen. Als Ansatz-Punkt wird hier die INVITE-Funktion, welche beim Aufbau einer SIP- Verbindung benutzt wird, verwendet. Es werden immer wieder abgeänderte INVITE-Nachrichten an

4 4 Faath Michael, Schäffler Florian - Fuzzing den Server verschickt. Genauso wie bei der Veröffentlichung der snmpv1 Test-Suite hatte diese Anwendung auch verheerende Auswirkungen. Es konnte unter Anderem gezeigt werden, dass ein Großteil der Systeme durch die gefuzzten INVITE-Anfragen abstürzte und somit Ansatzpunkt für Sicherheitslöcher ermöglichte. Im weiteren Verlauf wurden, ausgehend von diesen Ergebnissen, mehrere Proof-of-Concept Buffer Overflow Exploits oder Denial of Services-Exploits entwickelt. Durch PROTOS gefundene Schwachstellen in folgender Software: Cisco IP Phone Model 7940/7960 running SIP images prior to 4.2 Cisco Routers running Cisco IOS 12.2T and 12.2 'X' trains Cisco PIX Firewall running software versions with SIP support, beginning with version 5.2(1) Ingate Firewall < All versions of SIP Express Router up to Mediatrix VoIP Access Devices and Gateways firmware < SIPv2.4 Mozilla Firefox IBM SecureWay V3.2.1 running under Solaris and Windows 2000 Lotus Domino R5 Servers (Enterprise, Application, and Mail), prior to 5.0.7a Microsoft Exchange 5.5 prior to Q and Exchange 2000 prior to Q Network Associates PGP Keyserver 7.0, prior to Hotfix 2 Oracle Internet Directory, versions x and OpenLDAP, 1.x prior to and 2.x prior to Mengleme ( : Bei mengleme handelt es sich um einen reinen HTTP-Fuzzer, welcher in der Programmiersprache C geschrieben ist. Auf Grund dessen, dass mengleme so effektiv fektiv arbeitet ist es mittels dieses Fuzzer gelungen jeden der bekannten und viele kleinere weniger bekannte Browser zum Absturz zu bringen. Funktionsweise Mengleme: Es wird mittels eines CGI-Skripts eine Seite aus mehreren zufällig zusammengestellten HTML-Tags, Extremwerte innerhalb dieser HTML-Tags Tags und zusätzlichen variierenden Informationen erstellt. Diese Seite wird nun immer wieder von einem Browser aufgerufen. Sollte nun der Browser beim Aufrufen dieser mittels CGI generierten Webseite abstürzen, so war der Fuzzer erfolgreich. Um später eine Suche nach der Ursache für den Absturz zu machen ist es vernünftig die generierten Seiten auf dem Server zu speichern, bevor sie an den Browser geschickt werden. HTMLer ( it finds IE bugs after roughly 2.5 -> 3 hours ) Dies ist eine Portierung von C in Python mit kleineren Modifikationen. Somit bleibt die Funktionsweise ähnlich verglichen mit der mengleme, außer dass nun keine CGI sonder einen Python generierte Seite aufgerufen wird. Mittels dieses Fuzzer wurde 2004 der IFrame Bug beim Microsoft Internet Explorer entdeckt. Diese Schwachstelle machte sich der Bofra-Wurm zu nutze. Die Konsequenz war, dass Microsoft rund ein Monat nachdem der IFrame Bug entdeckt wurde 5 Tage vor einem Patching Tuesday ein Fix für dieses Problem herausbrachte. Durch mengleme/htmler gefundene Schwachstellen in folgender Software: Microsoft Internet Explorer: u.a. IFrame Bug Netscape Navigator / Mozilla Firefox Links Lynx Opera Safari

5 5 Faath Michael, Schäffler Florian - Fuzzing Fuzzing Tools und Frameworks Tools für Webbrowser Axman COMbust CSS-Die DOM-Hanoi Hamachi jsparsefuzz MangleMe Tools für Betriebssysteme ISIC Sfuzz Stress2 Sysfuzz Tools für Netzwerkdienste DHCPfuzz FTPStress Fuzzball2 IRCfuzz Protos SSHredder Sonstige Tools Mangle Bugger CFG9000 Frameworks Autodafe Bed Peach Smudge Spike Spikefile Active X Common Object Model Stylesheet-Unterstützung Data Object Model DHTML-Code JavaScript HTML-Tags IP-Stacks Unix-Sockets FreeBSD-Kernel syscall()-funktionen DHCP-Clients FTP-Server TCP/IP-Header IRC-Clients Tool-Sammlung für SIP, SNMP, DNS und andere Sammlung mutierter SSH-Pakete mutiert Datei-Header mutiert Daten im Speicher laufender Programme intelligente Mutation unbekannter Eingabedaten Netzwerkprotokolle, mit Laufzeitanalyse Netzwerkprotokolle, Sprache: Perl universell einsetzbar, Sprache: Python Netzwerkprotokolle Netzwerkprotokolle, Sprache: C Dateiformate, Sprache: C Quelle:

6 6 Faath Michael, Schäffler Florian - Fuzzing Quellen: Heise: Schwachstellensuche mit Fuzzing, /artikel/100167/ Heise: Die Axt im Walde 22c3 - Ilja van Sprundel: Fuzzing - Breaking software in an automated fashion 23c3 - Dan Kaminsky: Black Ops 2006 Viz Edition - Pixel Fuzzing and the Bioinformatic Bindiff 23c3 - Gadi Evron: Fuzzing in the corporate world Ziegler, Paul S. (2007): Fuzzing Teil 1 und 2, Bonn: Hakin9 Hard Core Security Magazine Miller, Barton P.: Fuzz Testing of Application Reliability