- Jueves, 16 Marzo 2017
Los atacantes frecuentemente penetran en los sistemas de software introduciendo cadenas especiales de caracteres que explotan una vulnerabilidad de programación existente. Científicos informáticos del Centro de Seguridad de la Información, Privacidad y Responsabilidad (CISPA) de la Universidad de Saarland están desarrollando procedimientos de prueba para prevenir este tipo de abuso. Estas pruebas producen millones de entradas de programas válidos en cuestión de minutos. De esta manera, los investigadores pueden extraer automáticamente la información requerida del programa que están examinando.
Andreas Zeller, profesor de Ingeniería de Software de la Universidad de Saarland y investigador de la CISPA, está trabajando en descubrir vulnerabilidades de seguridad antes de que sean explotadas por ciberdelincuentes. "Los generadores de prueba modernos pueden generar entradas para el programa en cuestión a alta velocidad", explica Zeller. "Pero para que funcione, es esencial saber cómo se estructura la entrada para que el programa no permite entradas inválidas. Esto es precisamente lo que nuestros investigadores están trabajando, es decir, descifrar exactamente cómo necesitan ser construidas las entradas de estos programas".
Al mirar un determinado programa y sus entradas, Zeller y sus estudiantes de doctorado Matthias Hoeschele y Alexander Kampmann son capaces de extraer automáticamente una llamada "gramática sin contexto": Esta es una descripción de todas las entradas válidas para un programa específico, al igual que la gramática alemana es una descripción de oraciones correctas en el idioma alemán. Los investigadores de la CISPA también nombraron el sistema de software de concordancia que desarrollaron para este enfoque central. El prototipo se llama "Autograma", para "automático" y "gramática", y los primeros resultados ya se presentaron en septiembre de 2016, en la conferencia de Automated Software Engineering en Singapur.
"Con la gramática que Autogram genera, podemos producir millones de entradas válidas en minutos, lo que nos permite probar un programa de manera más exhaustiva", explica Zeller. La gran cantidad de intradas reduce considerablemente la probabilidad de pasar por alto las brechas de seguridad, según Zeller.
Para extraer la gramática de un programa específico, Autogram observa cómo el programa maneja una entrada dada. Diferentes partes de la entrada se procesan en diferentes partes del programa, lo que permite que el sistema Autogram recopile la información relevante - datos sobre la estructura de las entradas válidas y su relación con el código del programa. Las gramáticas extraídas son de hecho muy legibles para los seres humanos, ya que utilizan identificadores específicos del código del programa. "Actualmente, estamos probando nuestro prototipo permitiéndole analizar una amplia gama de formatos de entrada, como JSON o datos de la tabla. Utilizamos alrededor de mil entradas válidas como base", afirma Alexander Kampmann. Prospectivamente, estas entradas serán omitidas, sin embargo, de modo que en un paso siguiente la gramática se pudiera obtener directamente del programa.
Basados en la gramática extraída, los investigadores pueden crear nuevas entradas de prueba que analizan el programa sistemáticamente. ¿Cómo se puede hacer esto de manera eficiente? se está investigando en su proyecto "tribble". "Tribble" utiliza las gramáticas proporcionadas por Autogram y luego compila sistemáticamente todas las variables de entrada y fragmentos de código válidos.
Los investigadores de seguridad de TI alrededor de Zeller ya tienen una amplia experiencia con pruebas basadas en la gramática. En 2012, presentaron su generador de pruebas LANGFUZZ, que analizó exhaustivamente el navegador web de Firefox, utilizando una gramática hecha a mano en ese momento. LANGFUZZ ha estado en uso diario con los desarrolladores de Firefox durante cuatro años, y con su ayuda, hasta ahora se han identificado y corregido más de 4.000 errores y lagunas de seguridad.
Así que ahora los investigadores de Saarbruecken están ampliando su gama, desde Firefox a prácticamente cualquier programa y formato de entrada. "El objetivo a largo plazo son pruebas de seguridad totalmente automatizadas, aplicables a todos, desde el más pequeño gadget de Internet de Cosas hasta servidores completos", dice Zeller.
Cursos Técnicos y Seminarios
Centro de recursos técnicos sobre retos de la ciberseguridad
En el mundo interconectado de hoy en día, la necesidad de integrar la seguridad en el nivel ...
Webinars D-Link sobre formación TIC
D-Link ha anunciado su nueva temporada de sus D-Link Academy Webinars. Los temas de esta nueva ...
Curso básico de Fibra Óptica Gratuito
Aquí tienes todas las fichas del Curso básico de fibra óptica publicado en los primeros número de ...
Plataforma Inmersiva de e-Learning Keysight University
Keysight Technologies, Inc ha anunciado Keysight University, una ...
Nokia aborda la seguridad de las redes como parte de su programa de certificación 5G
Nokia ha anunciado hoy un nuevo curso y certificación 5G de nivel profesional dirigido a la ...
Suscríbase a la revista CONECtrónica
Precio suscripción anual:
PDF: 60,00.- € (IVA incluido.)
PAPEL: 180,00.- € (IVA incluido.)
Recibirá las 7 ediciones que se publican al año.