Upgrade to Pro — share decks privately, control downloads, hide ads and more …

解析基盤技術を用いた効率的なソフトウェアテスト

Ren Kimura
August 10, 2016
Programming
2
1.4k

 解析基盤技術を用いた効率的なソフトウェアテスト

seccamp16 tutor

Ren Kimura

August 10, 2016
Tweet

More Decks by Ren Kimura

See All by Ren Kimura
Introduction to Fuzzing
rkx1209
6
4k
ARM TrustZone エクスプロイト入門
rkx1209
7
7.7k
The Game is Over. Nintendo switch has been totally compromised
rkx1209
9
4.9k
インサイドNintendo Switch
rkx1209
18
12k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.4k
Reverse Debugging with radare2
rkx1209
6
1.8k
カーネルエクスプロイトによるシステム権限奪取
rkx1209
13
7.6k
$Hell on Sony Snatch the Kernel privilage from Browser
rkx1209
6
25k
Linuxカーネルクローンの作り方
rkx1209
3
930

Other Decks in Programming

See All in Programming
のびしろを広げる巻き込まれ力:偶然を活かすキャリアの作り方/oso2024
takahashiikki
1
410
とにかくAWS GameDay!AWSは世界の共通言語! / Anyway, AWS GameDay! AWS is the world's lingua franca!
seike460
PRO
1
550
From Subtype Polymorphism To Typeclass-based Ad hoc Polymorphism - An Example
philipschwarz
PRO
0
170
PHP でアセンブリ言語のように書く技術
memory1994
PRO
1
150
Progressive Web Apps für Desktop und Mobile mit Angular (Hands-on)
christianliebel
PRO
0
110
Vaporモードを大規模サービスに最速導入して学びを共有する
kazukishimamoto
4
4.3k
『ドメイン駆動設計をはじめよう』のモデリングアプローチ
masuda220
PRO
8
440
Generative AI Use Cases JP (略称:GenU)奮闘記
hideg
0
150
【Kaigi on Rails 2024】YOUTRUST スポンサーLT
krpk1900
1
250
LLM生成文章の精度評価自動化とプロンプトチューニングの効率化について
layerx
PRO
2
140
僕がつくった48個のWebサービス達
yusukebe
18
17k
Tuning GraphQL on Rails
pyama86
2
1k

Featured

See All Featured
RailsConf 2023
tenderlove
29
880
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
The Power of CSS Pseudo Elements
geoffreycrofte
72
5.3k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Music & Morning Musume
bryan
46
6.1k
GitHub's CSS Performance
jonrohan
1030
460k
Adopting Sorbet at Scale
ufuk
73
9k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
A Modern Web Designer's Workflow
chriscoyier
692
190k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k
Being A Developer After 40
akosma
86
590k
Product Roadmaps are Hard
iamctodd
PRO
48
10k

Transcript

  1. 解析基盤技術を用いた 効率的なソフトウェアテスト @RKX1209 セキュリティキャンプ全国大会 2016

  2. Program 1. ソフトウェアテストの自動化手法と問題点 自動ソフトウェアテストの各手法に対する問題点を、 コードカバレッジ、 再現性、セマンティック問題 といった観点から見ていく。 2. カーネルソフトウェアテスト自動化の課題 デバイスドライバやファイルシステムといった

    カーネルソフトウェア に対するテスト自動化の課題と 実現可能性について見ていく。

  3. Motivation • デバイスドライバのバグ増加 • プラットフォームの多様化 • 環境依存なコード • プロプライエタリなドライバ LDV

    Project: number of fixed bugs in Linux kernel sybsystems

  4. 1. ソフトウェアテストの 自動化手法と問題点

  5. ソフトウェアテスト自動化手法 ❏ 静的解析 ( Static Analysis ) 対象プログラムを動作させずに解析、テストを行う ❏ Control-flow

    Recovery バイナリの命令列から basic blockとflowを復元する技術。 L. Xu et al, “Constructing Precise Control Flow Graphs from Binaries.” [Davis09] ❏ Flow, Data Modeling Detection 復元されたflowの特徴からバグ、脆弱性を検出する技術。既知の脆弱性のみ検出可能。 F. Yamaguchi et al, “Modeling and discovering vulnerabilities with code property graphs” [IEE14]

  6. F. Yamaguchi et al, “Modeling and discovering vulnerabilities with code

    property graphs” [IEE14]

  7. ソフトウェアテスト自動化手法 ❏ 動的解析 ( Dynamic Analysis ) 対象プログラムに入力データを与え、実際に動作させながら解析、テストを行う ❏ Coverage-based

    Fuzzing コードカバレッジの高い入力データを生成、利用する Fuzzing。 AFLやsyzkallerなどがある。 Charlie Miller, “Fuzzing with Code Coverage By Example” [ToorCon07] ❏ Conclic testing, Under-constrained symbolic execution コードの分岐条件制約とした 充足可能性問題を解き実行経路を検出する。 この際、一部を実行して具体的な値を利用する事で計算量爆発に対処する。 Koushik Sen et al, “CUTE: A Concolic Unit Testing Engine for C” [ESEC13] D.A. Ramos et al, “Under-Constrained Symbolic Execution: Correctness...” [USENIX15]

  8. 既存のソフトウェアテスト自動化技術の多くは ユーザーアプリケーションを対象としている デバイスドライバなどのカーネルソフトウェア開発でも利用したい。 VMMやコンパイラといった基盤技術をもっとうまく活用できないか?

  9. 2. カーネルソフトウェアテスト 自動化の課題

  10. ANGR Shellphishによって開発されてい るバイナリ解析フレームワーク

  11. ANGR Shellphishによって開発されてい るバイナリ解析フレームワーク

  12. angrをドライバ解析に使用する事はできるか? “Apparently it doesn't like kernel modules, you need to

    write a custom loader” --Gaby Stanislas Lejay “ANGRY MODULE EXCAVATION” [ LSE16 ] angr meets kernel
  13. None

  14. angr meets kernel • カーネルモジュールを読むためのローダーを書く必要がある ◦ 実際にやった人がいました -> Stanislas Lejay

    “ANGRY MODULE EXCAVATION” [ LSE16 ] • 長所 ◦ ローダーで読み込んでユーザー空間で動作するため高速 • 短所 ◦ エミュレーションしていないためセマンティクギャップが大きい ▪ 解決できないシンボル ▪ 実行時まで分からない値 … etc それなりに簡単な構造のドライバなら解析できる

  15. Stanislas Lejay “ANGRY MODULE EXCAVATION” [ LSE16 ]

  16. Stanislas Lejay “ANGRY MODULE EXCAVATION” [ LSE16 ]

  17. • ゲストOSをエミュレーションで動かしながらドライバをテストしたい ◦ これならセマンティックギャップが少なく、必要な値はテスト時に全て分かる ◦ ただしパフォーマンスが落ちる • パフォーマンス維持のため、ドライバ実行時のみテストを行いたい ◦ VMI

    (Virtual Machine Introspection) によりゲストOSからドライバの情報を取得 ◦ ドライバ関数のアドレスを実行している時のみテスト用のフックを実行する

  18. Valgrind meets kernel kValgrind(+ debugger)の開発(未踏’16 後藤PM, 木村PJ) • Valgrindというソフトウェアテストツールをカーネルモジュールに対応させる •

    QEMUによりゲストOSをエミュレーション ◦ TCGという中間表現にフックコードを挿入 • ゲスト内にエージェントを配置して VMIを行うことで情報取得 ◦ Qemu guest agentを改造してゲストカーネルモジュールの情報取得を行う QMPを追加 ◦ ゲストはvirtioを通してホストに情報を送信 デバイスドライバのUAF (Use After Free)検知まではできるようになりました https://www.ipa.go.jp/jinzai/mitou/2016/gaiyou_g-1.html

  19. AFL meets kernel Triforce AFL (ncc group ‘16) • AFL

    (American Fuzzy Lop) をLinuxカーネル上で動かせるようにした物 • ゲスト内でエージェントサーバーが動作して、ファジングを行う • QEMUに独自の命令を追加してファジング部分の指定などをゲストOSから行う ◦ アーキテクチャ非依存 ◦ プラットフォーム非依存 paperはまだ発表されていない

  20. Sum up • カーネルソフトウェアテスト自動化は前途多難 • しかしまだ多くの改善点を残している • 今後増え続けるシステムソフトウェア開発の効率化 • 多くの基盤技術を動員して対処すべし