SlideShare a Scribd company logo

Fuzzing Techniques for Software Vulnerability Discovery

V
Vittorio Giovara

Here's the set of slides for a conference held by Alberto Trivero. He describes the modern fuzzing methods used to find bugs and vulnerabilities in software!

Technology
1 of 21
Download to read offline
Fuzzing Techniques for Software Vulnerability Discovery Fuzzing is easy, until you really try it Relatore: Alberto Trivero
Vulnerability Discovery Methodologies White-box testing (source code static analysis) Elevato code coverage ma falsi positivi molto numerosi e necessita dei sorgenti dell’applicazione Black-box testing (fuzzing) Sempre applicabile e spesso semplice ma risulta difficile capire quanto del software è stato testato Gray-box testing Black-box testing migliorato con tecniche di RCE Molti bug hunter intuiscono dove potrebbero annidarsi possibili vulnerabilità: entrano nella testa dello sviluppatore
Fuzz testing, la nascita La nascita si fa risalire a Barton Miller che nel 1990 pubblicò “An Empirical Study of the Reliability of UNIX Utilities” presso la University of Wisconsin-Madison Il programma sviluppato, fuzz, generava un flusso di dati casuali indirizzato a utility UNIX a riga di comando Risultato: dal 25% al 33% delle utility andò in crash o si bloccò, a seconda della variante UNIX Il bambino promette bene.. ;-)
Panoramica introduttiva "Even the most rudimentary fuzzers are surprisingly effective." (Pedram Amini) Con automatismi vari, un fuzzer ha lo scopo di identificare degli input che lo sviluppatore non ha valutato e che l’applicazione non è in grado di gestire correttamente Il fuzzing è piuttosto diffuso tra i security researchers per la sua relativa semplicità e gli ottimi risultati che offre Oltre il 70% delle vulnerabilità che Microsoft ha patchato nel 2006 sono state trovate grazie al fuzzing (esempi passati: IFRAME bug e .printer bug) I fuzzer sono responsabili di molti dei “month of” bugs
Giusto qualche nome... B0ffuzzer.txt RIOT and powerfuzzer-0.9a. FaultMon.zip dhcpfuzz.pl COMRaider-0.0.1 fileh.zip zip 33.exe SMUDGE.zip proxyfuzz-0.1.py SPIKE 2.9.tgz filep.zip DOM-Hanoi ftpfuzz.zip radius-fuzzer.tgz 0.2.html SPIKEfile.tgz rfuzz-0.9.gem.tar Sulley Fuzzing fusil-0.8.tar.gz EFS-PaiMei.zip scratch.rar Framework fuzzball2-0.7.tar.g FileFuzz.zip z sfuzz-0.2.c 1.0.exe Fuzzled-1.2.tar.gz hamachi 0.4.html smtpfuzz-0.9.16.zi TagBruteForcer.zi Fuzzware v1.4.rar p iCalfuzz-0.1.py p FuzzyFiles.pl antiparser-2.0.tar. ioctlizer-0.1b.zip snmp- FuzzySniffAndSen gz fuzzer-0.1.1.tar.bz ip6sic-0.1.tar.gz 2 d.zip autodafe-0.1.tar.g ircfuzz-0.3.c sysfuzz.c GPF.tar.bz2.tar z isic-0.06.tgz syslog- JBroFuzz-0.9.exe axman-1.0.0.zip jsfunfuzz.zip fuzzer-0.1.pl JavaFuzz-0.5.jar beSTORM mangle.c taof-0.3.2.zip Malybuzz-1.0b.tar 3.5.6.zip .gz mangleme.tgz tftpfuzz.py bugger-0.01b.tgz PROTOS Test- mielietools-1.0.tg ufuz3.zip bunny-0.92.tgz z Suite.zip chunked fuzzer untidy-beta2.tgz Peach-2.1_BETA3 mistress-0.2.rar zzuf-0.12.tar.gz.ta 0.7.c .exe pgmfuzz.c r dfuz_0.3.1b.tar.gz
Fuzzing phases: un po’ di formalismo Identificare l’obiettivo Identificare gli input Generare degli input malevoli (fuzzed data) Esecuzione degli stessi Monitorare eventuali eccezioni Determinare l’exploittabilità
Tipologie di fuzzer "For each vulnerability that comes out, make sure your fuzzer can find it, then abstract it a bit more." (Dave Aitel) Command-line (clfuzz, iFUZZ) Environment variabile (sharefuzz, iFUZZ) File format (FileFuzz, notSPIKEfile, SPIKEfile) Network Protocol (SPIKE, Peach e vari protocol-specific) Web application (WebScarab, SPIKE Proxy, wfuzz) Web browser (mangleme, DOM-Hanoi, Hamachi, CSSDIE) Fuzzing Framework (dfuz, Autodafé, Peach, GPF, Sulley)
Fuzzed data generation HTTP GET request standard: GET /index.html HTTP/1.1 Richieste malformate: AAAAAA...AAAA /index.html HTTP/1.1 GET ///////index.html HTTP/1.1 GET %n%n%n%n%n%n.html HTTP/1.1 GET /AAAAAAAAAAAAA.html HTTP/1.1 GET /index.html HTTTTTTTTTTTTTP/1.1 GET /index.html HTTP/1.1.1.1.1.1.1.1
Fuzzed data generation: Mutation-based E’ il metodo più semplice e veloce (da codare e usare) Conoscenza scarsa o assente della struttura degli input Corruzione (random o con una certa euristica) di input/ dati validi E’ facile che fallisca in protocolli che utilizzano checksum, CRC, codifiche, bit indicanti la lunghezza di un campo while [1]; do cat /dev/urandom | nc -vv target port; done Esempi: Taof, GPF, FileFuzz, notSPIKEfile
Fuzzed data generation: Generation-based "Intelligent fuzzing usually gives more results." (Ilja van Sprundel) Generazione automatica degli input, senza utilizzarne di precedentemente forniti, basandosi sulle specifiche del formato in esame Ogni punto possibile dell’input sarà soggetto a anomalie Esempi: SPIKE, SPIKEfile, Sulley e molti dei fuzzer commerciali
Fuzzed data generation: Evolutionary Sviluppo ancora in stato embrionale, basato soprattutto sui lavori di Jared DeMott Input futuri generati in base alle risposte passate che il programma ha fornito (p.es. basare la priorità dei test cases in base a quale input a raggiunto API pericolose) Esempi: Autodafè, EFS (usa PaiMei per tecniche avanzate di code coverage)
Un po’ di euristica C’è spesso una ricorrenza nella tipologia di input malevoli in grado di evidenziare una vulnerabilità Conviene quindi testare loro prima di fare modifiche random: più completa sarà la lista di input, migliore risulterà il code coverage ottenuto Esempi: “A” x 65000 ../../../../../../../../etc/passwd %n%n%n%n%n%n 0xFFFFFFF1
DEMO
Problematiche I mutation-based fuzzers possono generare un infinito numero di test cases, quando è stato eseguito a sufficienza il fuzzer? Ricerca dei bug non deterministica: stessa probabilità che il programma chashi dopo 2 minuti o 2 settimane! Come identifico un bug dietro un altro bug? Non so quanto del software è stato eseguito e testato (code coverage) Praticamente nessun fuzzer oggi in circolazione utilizza i risultati degli input passati per costruirne poi di migliori
Tecniche avanzate Si utilizzano tecniche avanzate di code coverage (aka fuzzer tracking) per testare tutti i possibili percorsi che gli input possono raggiungere Tecniche di automated protocol dissection che utilizzano algoritmi genetici sono state create per fuzzare al meglio anche protocolli proprietari sconosciuti Algoritmi genetici sono anche usati per indirizzare la scelta degli input migliori in una data situazione in base a quelli passati: code coverage massimizzato Tecniche di dynamic binary instrumentation permettono di individuare la sorgente di un errore e non solo il suo verificarsi
Tecniche avanzate: white-box fuzzing No, non è un ossimoro, è un termine usato soprattutto da Microsoft che ha lavorato sul concetto nell’ultimo anno Non c’entra molto con l’Hybrid Analysis di Rafal Los Invio di input malformati con la garanzia però di coprire praticamente tutti i “percorsi” possibili grazie a tecniche di dynamic test generation e symbolic execution Molto più complesso e lento dell’approccio black-box ma molto più efficace (SAGE ha scoperto la vulnerabilità ANI)
Fuzzing & SDLC Microsoft sin dal 2004 ha integrato avanzate tecniche di fuzzing nel proprio Security Development Lifecycle (si è accorta che correggere una vulnerabilità in un prodotto già pubblico le costava milioni di $$$, mica per altro :P ) Chiedere maggiore collaborazione ai security specialists durante il SDLC potrebbe essere utile (la segnalazione di una vulnerabilità in Firefox 3 poche ore dopo il rilascio evidenzia però il problema del security business) Il costo per patchare un software cresce più che linearmente all’avanzare del suo sviluppo
Conclusioni Le tecniche di fuzzing sono sicuramente il metodo più efficace per la ricerca di vulnerabilità (molte, non tutte!) Dopo che una vulnerabilità vi siete divertiti a trovarla, potete godere ancora di più exploittandola, se possibile! Esistono alcune soluzioni commerciali per il fuzzing: beSTORM, Codenomicon, Mu Dynamics, Holodeck (personalmente mi son trovato bene con beSTORM)
Links utili Trovate queste slide all’indirizzo: http://trivero.secdiscover.com/hat02.pdf h71028.www7.hp.com/ERC/cache/ 571092-0-0-0-121.html www.fuzzing.org
Domande? Relatore: Alberto Trivero e-mail: a.trivero@secdiscover.com

Recommended

Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discoveryameft
 
unreal IRCd 3281
unreal IRCd 3281unreal IRCd 3281
unreal IRCd 3281Salvatore Lentini
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Exploitation windows7
Exploitation windows7Exploitation windows7
Exploitation windows7Salvatore Lentini
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 

Recommended

Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discoveryameft
 
unreal IRCd 3281
unreal IRCd 3281unreal IRCd 3281
unreal IRCd 3281Salvatore Lentini
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Exploitation windows7
Exploitation windows7Exploitation windows7
Exploitation windows7Salvatore Lentini
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
01 linux corso teoria
01 linux corso teoria01 linux corso teoria
01 linux corso teoriavincenzo cervi
 
Cyber Forensic
Cyber ForensicCyber Forensic
Cyber ForensicNaLUG
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Linux Day 2009 LAMP HowTo
Linux Day 2009 LAMP HowToLinux Day 2009 LAMP HowTo
Linux Day 2009 LAMP HowToGiuseppe Agrillo
 
02 linux corso pratica
02 linux corso pratica02 linux corso pratica
02 linux corso praticavincenzo cervi
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsSandro Rossetti
 
Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Giuseppe Agrillo
 
Linux Day Torino 2015 applicazioni per iniziare
Linux Day Torino 2015 applicazioni per iniziareLinux Day Torino 2015 applicazioni per iniziare
Linux Day Torino 2015 applicazioni per iniziareFrancesco Tucci
 
Openmoko
OpenmokoOpenmoko
Openmokoguestec2667
 
Partizionamento_Dualboot_Andreapazo_LD09
Partizionamento_Dualboot_Andreapazo_LD09Partizionamento_Dualboot_Andreapazo_LD09
Partizionamento_Dualboot_Andreapazo_LD09andreapazzo
 
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Camelug Fava
 
Crittografia Quantistica
Crittografia QuantisticaCrittografia Quantistica
Crittografia QuantisticaVittorio Giovara
 
An overview on Quantum Key Distribution
An overview on Quantum Key DistributionAn overview on Quantum Key Distribution
An overview on Quantum Key DistributionFrancesco Corucci
 
Parallel and Distributed Computing on Low Latency Clusters
Parallel and Distributed Computing on Low Latency ClustersParallel and Distributed Computing on Low Latency Clusters
Parallel and Distributed Computing on Low Latency ClustersVittorio Giovara
 
I Mercati Geografici
I Mercati GeograficiI Mercati Geografici
I Mercati GeograficiVittorio Giovara
 
Introduction to video reverse engineering
Introduction to video reverse engineeringIntroduction to video reverse engineering
Introduction to video reverse engineeringVittorio Giovara
 
Block Cipher Modes of Operation And Cmac For Authentication
Block Cipher Modes of Operation And Cmac For AuthenticationBlock Cipher Modes of Operation And Cmac For Authentication
Block Cipher Modes of Operation And Cmac For AuthenticationVittorio Giovara
 
Il Caso Ryanair
Il Caso RyanairIl Caso Ryanair
Il Caso RyanairVittorio Giovara
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 

More Related Content

What's hot

Cyber Forensic
Cyber ForensicCyber Forensic
Cyber ForensicNaLUG
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
02 linux corso pratica
02 linux corso pratica02 linux corso pratica
02 linux corso praticavincenzo cervi
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsSandro Rossetti
 
Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Giuseppe Agrillo
 
Linux Day Torino 2015 applicazioni per iniziare
Linux Day Torino 2015 applicazioni per iniziareLinux Day Torino 2015 applicazioni per iniziare
Linux Day Torino 2015 applicazioni per iniziareFrancesco Tucci
 
Partizionamento_Dualboot_Andreapazo_LD09
Partizionamento_Dualboot_Andreapazo_LD09Partizionamento_Dualboot_Andreapazo_LD09
Partizionamento_Dualboot_Andreapazo_LD09andreapazzo
 
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Camelug Fava
 

What's hot (13)

01 linux corso teoria
01 linux corso teoria01 linux corso teoria
01 linux corso teoria
 
Cyber Forensic
Cyber ForensicCyber Forensic
Cyber Forensic
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Linux Day 2009 LAMP HowTo
Linux Day 2009 LAMP HowToLinux Day 2009 LAMP HowTo
Linux Day 2009 LAMP HowTo
 
02 linux corso pratica
02 linux corso pratica02 linux corso pratica
02 linux corso pratica
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testing
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
 
Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009
 
Linux Day Torino 2015 applicazioni per iniziare
Linux Day Torino 2015 applicazioni per iniziareLinux Day Torino 2015 applicazioni per iniziare
Linux Day Torino 2015 applicazioni per iniziare
 
Openmoko
OpenmokoOpenmoko
Openmoko
 
Partizionamento_Dualboot_Andreapazo_LD09
Partizionamento_Dualboot_Andreapazo_LD09Partizionamento_Dualboot_Andreapazo_LD09
Partizionamento_Dualboot_Andreapazo_LD09
 
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
 

Viewers also liked

An overview on Quantum Key Distribution
An overview on Quantum Key DistributionAn overview on Quantum Key Distribution
An overview on Quantum Key DistributionFrancesco Corucci
 
Parallel and Distributed Computing on Low Latency Clusters
Parallel and Distributed Computing on Low Latency ClustersParallel and Distributed Computing on Low Latency Clusters
Parallel and Distributed Computing on Low Latency ClustersVittorio Giovara
 
Introduction to video reverse engineering
Introduction to video reverse engineeringIntroduction to video reverse engineering
Introduction to video reverse engineeringVittorio Giovara
 
Block Cipher Modes of Operation And Cmac For Authentication
Block Cipher Modes of Operation And Cmac For AuthenticationBlock Cipher Modes of Operation And Cmac For Authentication
Block Cipher Modes of Operation And Cmac For AuthenticationVittorio Giovara
 

Viewers also liked (7)

Crittografia Quantistica
Crittografia QuantisticaCrittografia Quantistica
Crittografia Quantistica
 
An overview on Quantum Key Distribution
An overview on Quantum Key DistributionAn overview on Quantum Key Distribution
An overview on Quantum Key Distribution
 
Parallel and Distributed Computing on Low Latency Clusters
Parallel and Distributed Computing on Low Latency ClustersParallel and Distributed Computing on Low Latency Clusters
Parallel and Distributed Computing on Low Latency Clusters
 
I Mercati Geografici
I Mercati GeograficiI Mercati Geografici
I Mercati Geografici
 
Introduction to video reverse engineering
Introduction to video reverse engineeringIntroduction to video reverse engineering
Introduction to video reverse engineering
 
Block Cipher Modes of Operation And Cmac For Authentication
Block Cipher Modes of Operation And Cmac For AuthenticationBlock Cipher Modes of Operation And Cmac For Authentication
Block Cipher Modes of Operation And Cmac For Authentication
 
Il Caso Ryanair
Il Caso RyanairIl Caso Ryanair
Il Caso Ryanair
 

Similar to Fuzzing Techniques for Software Vulnerability Discovery

Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Digital Forensic
Digital ForensicDigital Forensic
Digital ForensicNaLUG
 
Node js dev day napoli 2016
Node js dev day napoli 2016Node js dev day napoli 2016
Node js dev day napoli 2016Michele Nasti
 
Rootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNARootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNAMichele Bologna
 
Ridirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoRidirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoBabel
 
Introduzione a RaspBerry PI
Introduzione a RaspBerry PIIntroduzione a RaspBerry PI
Introduzione a RaspBerry PIPaolo Aliverti
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
 
Come sviluppo le applicazioni web
Come sviluppo le applicazioni webCome sviluppo le applicazioni web
Come sviluppo le applicazioni webAndrea Lazzarotto
 
Pacchi e pacchetti
Pacchi e pacchettiPacchi e pacchetti
Pacchi e pacchettigiallu
 
Tanti "piccoli rilasci" con Symfony2
Tanti "piccoli rilasci" con Symfony2Tanti "piccoli rilasci" con Symfony2
Tanti "piccoli rilasci" con Symfony2Fabio Mora
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!festival ICT 2016
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 

Similar to Fuzzing Techniques for Software Vulnerability Discovery (20)

Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Digital Forensic
Digital ForensicDigital Forensic
Digital Forensic
 
Node js dev day napoli 2016
Node js dev day napoli 2016Node js dev day napoli 2016
Node js dev day napoli 2016
 
Rootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNARootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNA
 
Ridirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoRidirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimento
 
Introduzione a RaspBerry PI
Introduzione a RaspBerry PIIntroduzione a RaspBerry PI
Introduzione a RaspBerry PI
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
 
Come sviluppo le applicazioni web
Come sviluppo le applicazioni webCome sviluppo le applicazioni web
Come sviluppo le applicazioni web
 
Pacchi e pacchetti
Pacchi e pacchettiPacchi e pacchetti
Pacchi e pacchetti
 
Tanti "piccoli rilasci" con Symfony2
Tanti "piccoli rilasci" con Symfony2Tanti "piccoli rilasci" con Symfony2
Tanti "piccoli rilasci" con Symfony2
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 

More from Vittorio Giovara

Color me intrigued: A jaunt through color technology in video
Color me intrigued: A jaunt through color technology in videoColor me intrigued: A jaunt through color technology in video
Color me intrigued: A jaunt through color technology in videoVittorio Giovara
 
An overview on 10 bit video: UHDTV, HDR, and coding efficiency
An overview on 10 bit video: UHDTV, HDR, and coding efficiencyAn overview on 10 bit video: UHDTV, HDR, and coding efficiency
An overview on 10 bit video: UHDTV, HDR, and coding efficiencyVittorio Giovara
 
Software Requirements for Safety-related Systems
Software Requirements for Safety-related SystemsSoftware Requirements for Safety-related Systems
Software Requirements for Safety-related SystemsVittorio Giovara
 
Microprocessor-based Systems 48/32bit Division Algorithm
Microprocessor-based Systems 48/32bit Division AlgorithmMicroprocessor-based Systems 48/32bit Division Algorithm
Microprocessor-based Systems 48/32bit Division AlgorithmVittorio Giovara
 
Misra C Software Development Standard
Misra C Software Development StandardMisra C Software Development Standard
Misra C Software Development StandardVittorio Giovara
 
OpenSSL User Manual and Data Format
OpenSSL User Manual and Data FormatOpenSSL User Manual and Data Format
OpenSSL User Manual and Data FormatVittorio Giovara
 
Authenticated Encryption Gcm Ccm
Authenticated Encryption Gcm CcmAuthenticated Encryption Gcm Ccm
Authenticated Encryption Gcm CcmVittorio Giovara
 

More from Vittorio Giovara (7)

Color me intrigued: A jaunt through color technology in video
Color me intrigued: A jaunt through color technology in videoColor me intrigued: A jaunt through color technology in video
Color me intrigued: A jaunt through color technology in video
 
An overview on 10 bit video: UHDTV, HDR, and coding efficiency
An overview on 10 bit video: UHDTV, HDR, and coding efficiencyAn overview on 10 bit video: UHDTV, HDR, and coding efficiency
An overview on 10 bit video: UHDTV, HDR, and coding efficiency
 
Software Requirements for Safety-related Systems
Software Requirements for Safety-related SystemsSoftware Requirements for Safety-related Systems
Software Requirements for Safety-related Systems
 
Microprocessor-based Systems 48/32bit Division Algorithm
Microprocessor-based Systems 48/32bit Division AlgorithmMicroprocessor-based Systems 48/32bit Division Algorithm
Microprocessor-based Systems 48/32bit Division Algorithm
 
Misra C Software Development Standard
Misra C Software Development StandardMisra C Software Development Standard
Misra C Software Development Standard
 
OpenSSL User Manual and Data Format
OpenSSL User Manual and Data FormatOpenSSL User Manual and Data Format
OpenSSL User Manual and Data Format
 
Authenticated Encryption Gcm Ccm
Authenticated Encryption Gcm CcmAuthenticated Encryption Gcm Ccm
Authenticated Encryption Gcm Ccm
 

Fuzzing Techniques for Software Vulnerability Discovery

  • 1. Fuzzing Techniques for Software Vulnerability Discovery Fuzzing is easy, until you really try it Relatore: Alberto Trivero
  • 2. Vulnerability Discovery Methodologies White-box testing (source code static analysis) Elevato code coverage ma falsi positivi molto numerosi e necessita dei sorgenti dell’applicazione Black-box testing (fuzzing) Sempre applicabile e spesso semplice ma risulta difficile capire quanto del software è stato testato Gray-box testing Black-box testing migliorato con tecniche di RCE Molti bug hunter intuiscono dove potrebbero annidarsi possibili vulnerabilità: entrano nella testa dello sviluppatore
  • 3. Fuzz testing, la nascita La nascita si fa risalire a Barton Miller che nel 1990 pubblicò “An Empirical Study of the Reliability of UNIX Utilities” presso la University of Wisconsin-Madison Il programma sviluppato, fuzz, generava un flusso di dati casuali indirizzato a utility UNIX a riga di comando Risultato: dal 25% al 33% delle utility andò in crash o si bloccò, a seconda della variante UNIX Il bambino promette bene.. ;-)
  • 4. Panoramica introduttiva "Even the most rudimentary fuzzers are surprisingly effective." (Pedram Amini) Con automatismi vari, un fuzzer ha lo scopo di identificare degli input che lo sviluppatore non ha valutato e che l’applicazione non è in grado di gestire correttamente Il fuzzing è piuttosto diffuso tra i security researchers per la sua relativa semplicità e gli ottimi risultati che offre Oltre il 70% delle vulnerabilità che Microsoft ha patchato nel 2006 sono state trovate grazie al fuzzing (esempi passati: IFRAME bug e .printer bug) I fuzzer sono responsabili di molti dei “month of” bugs
  • 5. Giusto qualche nome... B0ffuzzer.txt RIOT and powerfuzzer-0.9a. FaultMon.zip dhcpfuzz.pl COMRaider-0.0.1 fileh.zip zip 33.exe SMUDGE.zip proxyfuzz-0.1.py SPIKE 2.9.tgz filep.zip DOM-Hanoi ftpfuzz.zip radius-fuzzer.tgz 0.2.html SPIKEfile.tgz rfuzz-0.9.gem.tar Sulley Fuzzing fusil-0.8.tar.gz EFS-PaiMei.zip scratch.rar Framework fuzzball2-0.7.tar.g FileFuzz.zip z sfuzz-0.2.c 1.0.exe Fuzzled-1.2.tar.gz hamachi 0.4.html smtpfuzz-0.9.16.zi TagBruteForcer.zi Fuzzware v1.4.rar p iCalfuzz-0.1.py p FuzzyFiles.pl antiparser-2.0.tar. ioctlizer-0.1b.zip snmp- FuzzySniffAndSen gz fuzzer-0.1.1.tar.bz ip6sic-0.1.tar.gz 2 d.zip autodafe-0.1.tar.g ircfuzz-0.3.c sysfuzz.c GPF.tar.bz2.tar z isic-0.06.tgz syslog- JBroFuzz-0.9.exe axman-1.0.0.zip jsfunfuzz.zip fuzzer-0.1.pl JavaFuzz-0.5.jar beSTORM mangle.c taof-0.3.2.zip Malybuzz-1.0b.tar 3.5.6.zip .gz mangleme.tgz tftpfuzz.py bugger-0.01b.tgz PROTOS Test- mielietools-1.0.tg ufuz3.zip bunny-0.92.tgz z Suite.zip chunked fuzzer untidy-beta2.tgz Peach-2.1_BETA3 mistress-0.2.rar zzuf-0.12.tar.gz.ta 0.7.c .exe pgmfuzz.c r dfuz_0.3.1b.tar.gz
  • 6. Fuzzing phases: un po’ di formalismo Identificare l’obiettivo Identificare gli input Generare degli input malevoli (fuzzed data) Esecuzione degli stessi Monitorare eventuali eccezioni Determinare l’exploittabilità
  • 7. Tipologie di fuzzer "For each vulnerability that comes out, make sure your fuzzer can find it, then abstract it a bit more." (Dave Aitel) Command-line (clfuzz, iFUZZ) Environment variabile (sharefuzz, iFUZZ) File format (FileFuzz, notSPIKEfile, SPIKEfile) Network Protocol (SPIKE, Peach e vari protocol-specific) Web application (WebScarab, SPIKE Proxy, wfuzz) Web browser (mangleme, DOM-Hanoi, Hamachi, CSSDIE) Fuzzing Framework (dfuz, Autodafé, Peach, GPF, Sulley)
  • 8. Fuzzed data generation HTTP GET request standard: GET /index.html HTTP/1.1 Richieste malformate: AAAAAA...AAAA /index.html HTTP/1.1 GET ///////index.html HTTP/1.1 GET %n%n%n%n%n%n.html HTTP/1.1 GET /AAAAAAAAAAAAA.html HTTP/1.1 GET /index.html HTTTTTTTTTTTTTP/1.1 GET /index.html HTTP/1.1.1.1.1.1.1.1
  • 9. Fuzzed data generation: Mutation-based E’ il metodo più semplice e veloce (da codare e usare) Conoscenza scarsa o assente della struttura degli input Corruzione (random o con una certa euristica) di input/ dati validi E’ facile che fallisca in protocolli che utilizzano checksum, CRC, codifiche, bit indicanti la lunghezza di un campo while [1]; do cat /dev/urandom | nc -vv target port; done Esempi: Taof, GPF, FileFuzz, notSPIKEfile
  • 10. Fuzzed data generation: Generation-based "Intelligent fuzzing usually gives more results." (Ilja van Sprundel) Generazione automatica degli input, senza utilizzarne di precedentemente forniti, basandosi sulle specifiche del formato in esame Ogni punto possibile dell’input sarà soggetto a anomalie Esempi: SPIKE, SPIKEfile, Sulley e molti dei fuzzer commerciali
  • 11. Fuzzed data generation: Evolutionary Sviluppo ancora in stato embrionale, basato soprattutto sui lavori di Jared DeMott Input futuri generati in base alle risposte passate che il programma ha fornito (p.es. basare la priorità dei test cases in base a quale input a raggiunto API pericolose) Esempi: Autodafè, EFS (usa PaiMei per tecniche avanzate di code coverage)
  • 12. Un po’ di euristica C’è spesso una ricorrenza nella tipologia di input malevoli in grado di evidenziare una vulnerabilità Conviene quindi testare loro prima di fare modifiche random: più completa sarà la lista di input, migliore risulterà il code coverage ottenuto Esempi: “A” x 65000 ../../../../../../../../etc/passwd %n%n%n%n%n%n 0xFFFFFFF1
  • 13. DEMO
  • 14. Problematiche I mutation-based fuzzers possono generare un infinito numero di test cases, quando è stato eseguito a sufficienza il fuzzer? Ricerca dei bug non deterministica: stessa probabilità che il programma chashi dopo 2 minuti o 2 settimane! Come identifico un bug dietro un altro bug? Non so quanto del software è stato eseguito e testato (code coverage) Praticamente nessun fuzzer oggi in circolazione utilizza i risultati degli input passati per costruirne poi di migliori
  • 15. Tecniche avanzate Si utilizzano tecniche avanzate di code coverage (aka fuzzer tracking) per testare tutti i possibili percorsi che gli input possono raggiungere Tecniche di automated protocol dissection che utilizzano algoritmi genetici sono state create per fuzzare al meglio anche protocolli proprietari sconosciuti Algoritmi genetici sono anche usati per indirizzare la scelta degli input migliori in una data situazione in base a quelli passati: code coverage massimizzato Tecniche di dynamic binary instrumentation permettono di individuare la sorgente di un errore e non solo il suo verificarsi
  • 16. Tecniche avanzate: white-box fuzzing No, non è un ossimoro, è un termine usato soprattutto da Microsoft che ha lavorato sul concetto nell’ultimo anno Non c’entra molto con l’Hybrid Analysis di Rafal Los Invio di input malformati con la garanzia però di coprire praticamente tutti i “percorsi” possibili grazie a tecniche di dynamic test generation e symbolic execution Molto più complesso e lento dell’approccio black-box ma molto più efficace (SAGE ha scoperto la vulnerabilità ANI)
  • 17. Fuzzing & SDLC Microsoft sin dal 2004 ha integrato avanzate tecniche di fuzzing nel proprio Security Development Lifecycle (si è accorta che correggere una vulnerabilità in un prodotto già pubblico le costava milioni di $$$, mica per altro :P ) Chiedere maggiore collaborazione ai security specialists durante il SDLC potrebbe essere utile (la segnalazione di una vulnerabilità in Firefox 3 poche ore dopo il rilascio evidenzia però il problema del security business) Il costo per patchare un software cresce più che linearmente all’avanzare del suo sviluppo
  • 18. Conclusioni Le tecniche di fuzzing sono sicuramente il metodo più efficace per la ricerca di vulnerabilità (molte, non tutte!) Dopo che una vulnerabilità vi siete divertiti a trovarla, potete godere ancora di più exploittandola, se possibile! Esistono alcune soluzioni commerciali per il fuzzing: beSTORM, Codenomicon, Mu Dynamics, Holodeck (personalmente mi son trovato bene con beSTORM)
  • 19. Links utili Trovate queste slide all’indirizzo: http://trivero.secdiscover.com/hat02.pdf h71028.www7.hp.com/ERC/cache/ 571092-0-0-0-121.html www.fuzzing.org
  • 20.
  • 21. Domande? Relatore: Alberto Trivero e-mail: a.trivero@secdiscover.com