Simple Science

Ciência de ponta explicada de forma simples

# Informática# Criptografia e segurança

Melhorando a Detecção de Vulnerabilidades em Software

Um novo método melhora a precisão na identificação de vulnerabilidades de software.

― 6 min ler

Aumentando a Precisão daAumentando a Precisão daSegurança de Softwarevulnerabilidades em software.Novo método melhora a detecção de
Índice

Encontrar falhas ou fraquezas em software é super importante pra manter a qualidade e segurança. Essas falhas podem causar problemas de segurança, já que atacantes podem explorá-las. Muitas dessas falhas surgem por causa da reutilização de código em diferentes produtos de software, especialmente quando bibliotecas de terceiros são usadas bastante.

As Vulnerabilidades muitas vezes aparecem de novo em novas versões de software porque os desenvolvedores podem não corrigir todas as falhas de forma efetiva. Especialistas em segurança cibernética precisam de formas pra identificar essas vulnerabilidades que aparecem repetidamente, especialmente as mais conhecidas, que costumam ser chamadas de vulnerabilidades de 1 dia ou N dias. Detectar esses problemas é essencial pra manter o software seguro.

Infelizmente, os métodos existentes de detecção de vulnerabilidades nem sempre funcionam bem. Muitos métodos dependem de checar se um patch existe pra uma vulnerabilidade, em vez de confirmar se a vulnerabilidade realmente tá presente. Além disso, eles frequentemente inferem assinaturas de vulnerabilidade diretamente do código binário, o que pode levar a imprecisões. Este artigo explica uma nova abordagem pra extrair e identificar vulnerabilidades usando essas assinaturas binárias de forma mais precisa.

Os Desafios em Detectar Vulnerabilidades

Especialistas humanos podem analisar muitas vulnerabilidades existentes e aprender como identificar falhas semelhantes no código. No entanto, com a quantidade gigante de código disponível, é complicado pra uma pessoa revisar tudo manualmente. Isso cria uma demanda por soluções automatizadas que consigam detectar potenciais vulnerabilidades diretamente ou que ajudem a filtrar o código pra revisão humana.

Um desafio significativo é que o código binário, que é o código em nível de máquina que os computadores executam, é muito complicado de entender pros humanos. É essencial contar com métodos automatizados pra fazer essa tarefa e reduzir erros humanos e melhorar a eficiência.

Normalmente, existem três tipos principais de pesquisa nessa área:

  1. Detecção de Similaridade de Código Binário: Isso envolve comparar amostras binárias pra encontrar os trechos de código mais semelhantes em um banco de dados de vulnerabilidades conhecidas. No entanto, esse método costuma ser limitado porque pode gerar muitos falsos positivos e não aponta Instruções específicas ligadas a vulnerabilidades.

  2. Detecção de Existência de Patch: Essa abordagem verifica se um patch foi aplicado a um pedaço de código. No entanto, só porque não há patch, não significa que não exista uma vulnerabilidade. Muitos códigos vulneráveis podem existir em versões anteriores que ainda não foram corrigidas.

  3. Detecção de Assinatura de Vulnerabilidade: Esse método identifica assinaturas específicas no código binário que correspondem a vulnerabilidades conhecidas. No entanto, comparar diretamente versões binárias pode resultar em instruções irrelevantes sendo consideradas parte da assinatura de vulnerabilidade.

Pra melhorar a precisão desses métodos, novas abordagens são necessárias que consigam detectar efetivamente a existência de vulnerabilidades baseadas em assinaturas mais precisas.

Uma Nova Abordagem pra Detecção de Vulnerabilidades

A abordagem proposta visa gerar assinaturas de vulnerabilidade precisas e detalhadas. Esse novo método foca em extrair instruções binárias específicas relacionadas a vulnerabilidades pra criar assinaturas definitivas de vulnerabilidade.

Passo 1: Coletando Dados

O primeiro passo envolve coletar dados sobre vulnerabilidades conhecidas, incluindo informações sobre os arquivos de código-fonte correspondentes. Essa informação inclui as funções afetadas por vulnerabilidades, quais versões foram impactadas e quais versões tiveram Patches.

Passo 2: Localizando Instruções Binárias Relacionadas

Pra melhorar a precisão, a abordagem extrai instruções do código-fonte relacionadas a vulnerabilidades e as combina com as instruções binárias correspondentes. Esse passo ajuda a identificar quais instruções binárias estão ligadas a vulnerabilidades sem incluir código irrelevante.

Passo 3: Construindo Assinaturas Conscientes do Contexto

Uma vez que as instruções binárias relevantes são identificadas, a abordagem constrói assinaturas que são conscientes do contexto em que estão. Essas assinaturas capturam não só as instruções vulneráveis, mas também seu contexto ao redor, o que ajuda a reduzir falsos positivos ao combiná-las depois.

Passo 4: Comparando Assinaturas

O passo final envolve checar se um determinado binário contém as assinaturas que foram geradas. Esse método não só busca correspondências exatas, mas também avalia o contexto ao redor das instruções pra identificar vulnerabilidades com precisão.

Avaliando o Método

A eficácia dessa nova abordagem foi testada usando vários projetos de código aberto, resultando em um desempenho interessante em comparação com as ferramentas existentes. O método mostrou uma precisão melhorada na identificação de vulnerabilidades em códigos conhecidos e do mundo real.

Comparação com Ferramentas Existentes

Quando testado contra ferramentas populares, essa nova abordagem superou elas ao fornecer uma detecção de vulnerabilidades mais precisa, reduzindo também os falsos positivos. Os usuários do método receberam explicações sobre as correspondências feitas, o que é útil pra entender por que um pedaço de código foi marcado como potencialmente vulnerável.

Testes no Mundo Real

O método foi validado ainda mais usando firmware do mundo real de dispositivos IoT. Esses dispositivos costumam conter vulnerabilidades conhecidas devido à reutilização de componentes de software. Os resultados mostraram que esse método podia identificar vulnerabilidades em situações práticas.

Os Tipos de Vulnerabilidades Detectadas

A análise revelou vários tipos de vulnerabilidades com base na Common Weakness Enumeration (CWE). Essa classificação ajuda a entender os diferentes tipos de vulnerabilidades que apareceram no software testado.

Os principais tipos de vulnerabilidades detectadas incluíram:

  • Restrições Inadequadas em Operações de Buffer: Uma vulnerabilidade comum onde operações em buffers de memória não são controladas corretamente.
  • Uso Após Liberação: Uma falha que ocorre quando um programa continua a usar a memória depois que ela foi liberada, o que pode levar a comportamentos inesperados.

Conclusão

Detectar vulnerabilidades em software continua sendo uma tarefa crítica pra garantir segurança e qualidade. Com a crescente dependência de código e bibliotecas de terceiros, as chances dessas vulnerabilidades aparecerem repetidamente em diferentes versões de software aumentam.

A nova abordagem discutida aqui oferece uma solução promissora, gerando assinaturas binárias precisas para vulnerabilidades conhecidas. Ao focar em instruções específicas e seu contexto, esse método não só melhora a precisão, mas também ajuda a entender as razões por trás da detecção de vulnerabilidades.

Trabalhos futuros poderiam envolver o refinamento desses métodos e a expansão de sua aplicabilidade em diferentes paradigmas de programação e arquiteturas de hardware. Assim, podemos melhorar a segurança do software como um todo, tornando-o mais seguro pra usuários e organizações.

Fonte original

Título: VulMatch: Binary-level Vulnerability Detection Through Signature

Resumo: Similar vulnerability repeats in real-world software products because of code reuse, especially in wildly reused third-party code and libraries. Detecting repeating vulnerabilities like 1-day and N-day vulnerabilities is an important cyber security task. Unfortunately, the state-of-the-art methods suffer from poor performance because they detect patch existence instead of vulnerability existence and infer the vulnerability signature directly from binary code. In this paper, we propose VulMatch to extract precise vulnerability-related binary instructions to generate the vulnerability-related signature. VulMatch detects vulnerability existence based on binary signatures. Unlike previous approaches, VulMatch accurately locates vulnerability-related instructions by utilizing source and binary codes. Our experiments were conducted using over 1000 vulnerable instances across seven open-source projects. VulMatch significantly outperformed the baseline tools Asm2vec and Palmtree. Besides the performance advantages over the baseline tools, VulMatch offers a better feature by providing explainable reasons during vulnerability detection. Our empirical studies demonstrate that VulMatch detects fine-grained vulnerability that the state-of-the-art tools struggle with. Our experiment on commercial firmware demonstrates VulMatch is able to find vulnerabilities in real-world scenario.

Autores: Zian Liu, Lei Pan, Chao Chen, Ejaz Ahmed, Shigang Liu, Jun Zhang, Dongxi Liu

Última atualização: 2024-01-17 00:00:00

Idioma: English

Fonte URL: https://arxiv.org/abs/2308.00288

Fonte PDF: https://arxiv.org/pdf/2308.00288

Licença: https://creativecommons.org/licenses/by/4.0/

Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.

Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.

Ligações de referência
Tópicos referenciados

Mais de autores

Artigos semelhantes