Vulnerability Recognition by Execution Trace Differentiation

Transkript

1 Vulnerability Recognition by Execution Trace Differentiation Fabien Patrick Viertel, Oliver Karras and Kurt Schneider Software Engineering Group, Leibniz Universität Hannover, Germany Symposium on Software Performance 2017

2 Überblick Motivation Ansatz Fallbeispiel Visuelle Darstellung Zusammenfassung und Ausblick 2

3 Motivation Security is ein wichtiges Qualitätskriterium einer Software Schwachstellen von Software werden ausgenutzt um schädlichen Code auszuführen (Code Exploit) Die Korrektur einer gefundenen Schwachstelle ist eine sehr zeitintensive und schwere Aufgabe (SDL Microsoft) 3

4 Motivation Security Experten die die Schwachstelle gefunden haben, sind häufig nicht mehr verfügbar wenn diese gefixt wird. Daher Wichtig: Dokumentation / Kommunikation 4

5 Bugfixing Ursprüngliches Vorgehen Unternehmen rekutieren einen Security Experten für einen Penetration Test Dieser findet Schwachstellen in der Software und dokumentiert sie in einem Bericht Der Schachstellenbericht wird den Entwicklern für das Bugfixing übergeben Suchen die angegebenen Codestellen im Projekt um die Lücke zu schließen 5

6 Vorherige Arbeiten Tool: Focus Whitehat als Nutzer um Security Probleme (Video, Audio und Trace) aufzuzeichnen Existiert als Eclipse Plugin für Java Anwendungen Zur Dokumenation von Schwachstellen 6

7 Ansatz - Aktueller Betrachtungsbereich Software programmiert mit Java (Remote) Code Exploit Erkennung Voraussetzung ist eine deterministische Codeausführung Limitiert auf eine Programmiersprache z.b. SQL Exploits werden nicht erkannt Erstellung der Dokumentation vom Security Experten Finden von Schwachstellen behafteten Source Code 7

8 Ansatz - Trace Differentiation Aufnahme von Execution Traces durch das Kieker Performance Monitoring Framework Reguläre Programmausführung Penetration Test Programmausführung Erstellen eines Diffs aus den Traces Visualisierung der Unterschiede in Unterschiedlichen Darstellungen 8

9 Ansatz - Trace Differentiation Sobald ein Unterschied in den Traces gefunden wurde, wird davon ausgegangen, dass die Methode die den Exploit Code aufgerufen hat, eine Schwachstelle enthält Dies ist die zuletzt aufgerufene Methode welche in beiden Traces enthalten ist Parameter und Variablenwerte werden bei der Analyse nicht betrachtet Springen zu potentiell fehlerhafte Codestellen um sie direkt zu bearbeiten 9

10 Ergebnisse der Analysen Gleiche Methodenausführung Methodenausführung is in beiden Traces vorhanden Neue Methodenausführung Methodenausführung ist nur im schädlichen Trace Fehlende Methodenausführung Methodenausführung ist nur im Trace des regulären Verhaltens Aufgerufen von Methode Von welcher Methode wurde die aufgerufene Methode aufgerufe 10

11 Ansatz - Vorgehen mit FOCUS+ 11

12 Fallbeispiel Loginprozess einer Anwendung Ursprüngliche Methodensequenz: getlogin, checklogin und login Schädliche Methodensequenz: getlogin, skipcheck und login Method getlogin checklogin login skipcheck Description Gets the entered login credentials Correctness check of login Proceeds the login Skips the login credentials check 12

13 Visuelle Darstellung - Graphview 13

14 Visuelle Darstellung - Listview Strukturierte Darstellung in Form einer Side-by-Side Liste Zwei Listen die je einen Trace darstellen Fehler in Abläufen werden dargestellt State Method Method State Equals getlogin getlogin Equals Missing checklogin skipcheck Exploit Equals login login Equals 14

15 Zusammenfassung und Ausblick Trace Analyse zur Lokalisierung von Schwachstellen im Source Code, welche Code Exploits ermöglichen Unser Ansatz unterstützt Security Experten die Dokuentation zu erstellen Darüberhinaus wird der Entwickler untersützt die fehlerhaften Methoden zu finden Basiert auf Trace Differentiation 15

16 Ausblick Nutzer Studie um die Vorteile von FOCUS+ zu prüfen im Vergleich zu regulären Berichten Fokus: Zeiteinsparung eine Schwachstelle im Source Code zu finden Klarheit der Dokumentation Integration in Eclipse Plugin Adaption des Ansatzes auf Runtime Monitoring 16

17 Ende Danke für Ihre Aufmerksamkeit! Gibt es Fragen? 17