Un investigador australiano, Silvio Cesare, ha desarrollado una herramienta que es capaz de detectar vulnerabilidades en Linux de forma automática.
Él plantea que si se incorpora la detección de errores de forma temprana, desde la etapa de QA por ejemplo, se podría hacer que el software sea más seguro desde el comienzo.
En el modelo tradicional, para detectar paquetes con fallos, es necesario demostrar la lógica de Hoare. Sumado a eso, se realiza un control de modelado y un análisis estático. A su vez, actualmente, los desarrolladores normalmente hacen uso de código embebido de otros proyectos utilizando enlaces estáticos en vez de librerías externas. Eso significa que se mantiene una copia interna del código de la librería.
El problema, es que este comportamiento no es fomentado por las políticas de utilización de paquetes de Linux, ya que más de dos versiones de una librería necesitan ser mantenidas de forma adecuada.
Entonces, se propone localizar estos paquetes embebidos en forma automática y de paso, crear un algoritmo que pueda inferir vulnerabilidades en el sistema. Para eso, se divide la problemática en tres partes:
- Determinar si un paquete A está embebido en un paquete B.
- Encontrar partes de los paquetes que compartan código.
- A través de las relaciones entre los paquetes, inferir posibles vulnerabilidades.
- Si un paquete tiene el nombre de otros paquetes como subconjunto, entonces se puede asumir que está embebido.
- Paquetes que comparten archivos están vinculados.
- Paquetes que comparten código también comparten sus vulnerabilidades y, además, paquetes equivalentes en varias distros, también comparten vulnerabilidades.
0 comentarios:
Publicar un comentario