Bombardement med store datamængder kan finde sårbarheder i kode

Fuzzing-teknikken kan bruges til at finde sikkerhedsmæssige sårbarheder i kode

»Hvis du har en stor kodebase, og du ikke har tid til at pille det hele fra hinanden og læse det igennem, så kan man bruge fuzzing til at fremprovokere nogle fejl,« fortæller Lasse Trolle Borup, konsulent ved det danske it-sikkerhedsfirma ImproSec.

Ofte kan fejl i software vise sig at kunne udnyttes til at angribe et it-system med.

Pdf-læser udløser fejl

Et tænkt eksempel kan være en særligt indrettet pdf-fil, der måske umiddelbart virker tilforladelig, men når den bliver åbnet med pdf-læseren, udløser det en fejl, som i sidste ende kan bruges til at køre ondsindet kode på systemet.

Lasse Trolle Borup fortæller, at der findes forskellige fuzzing-værktøjer, der kan sættes op til at teste programmer - eksempelvis en pdf-læser.

Kraftig hardware

»Det, det handler om med fuzzing, er, at vi er interesserede i at behandle en så stor mængde data som muligt, på så stor en del af koden som muligt, på så kort tid som muligt.«

Det er i den forbindelse også vigtigt at komme ud i hjørnerne af programmet, der tager imod inputtene - eksempelvis pdf-læseren, forklarer Lasse Trolle Borup.

Sværere at udnytte sårbarheder

»Mange sårbarheder bliver sværere og sværere at udnytte. For at udnytte en sårbarhed i Chrome skal man ofte bruge hele tre forskellige sårbarheder i Chrome,« fortæller han.

Read the article here