Abo
  • Services:

Fuzzing: Wie man Heartbleed hätte finden können

Vor einem Jahr machte der Heartbleed-Bug in OpenSSL Schlagzeilen - doch solche Bugs lassen sich mit Hilfe von Fuzzing-Technologien aufspüren. Wir haben das mit den Tools American Fuzzy Lop und Address Sanitizer nachvollzogen und den Heartbleed-Bug neu entdeckt.

Artikel von Hanno Böck veröffentlicht am
American Fuzzy Lop kann Bugs wie Heartbleed finden.
American Fuzzy Lop kann Bugs wie Heartbleed finden. (Bild: Screenshot)

Vor einem Jahr, am siebten April 2014, veröffentlichten die Entwickler von OpenSSL Details zu einem Fehler in ihrer Software. Der Bug, der den Namen Heartbleed erhielt, führte zu einer intensiven Debatte über die Sicherheit wichtiger freier Softwareprojekte. Vielfach wurde dabei die Frage gestellt, warum dieser Fehler nicht früher gefunden wurde - über zwei Jahre befand sich Heartbleed im OpenSSL-Code.

Hätte Fuzzing Heartbleed gefunden?

Inhalt:
  1. Fuzzing: Wie man Heartbleed hätte finden können
  2. Address Sanitizer und American Fuzzy Lop
  3. Fuzzing des TLS-Handshakes

Eine relativ simple Möglichkeit, Fehler in Software zu finden, ist das sogenannte Fuzzing. Die Idee dabei: Eine Software wird immer wieder mit Eingabedaten aufgerufen, die kleine Fehler enthalten. Stürzt das Programm ab, ist oft ein Fehler gefunden - in vielen Fällen deuten Abstürze auf fehlerhafte Speicherzugriffe hin, die zu Sicherheitslücken führen. Der IT-Sicherheitsspezialist David A. Wheeler hat sich nach Heartbleed ausführlich damit beschäftigt, ob und wie Fuzzing Heartbleed hätte finden können. Der Autor dieses Artikels konnte diese Frage nun in der Praxis beantworten.

Selbstverständlich ist es einfach, einen Fehler zu finden, wenn klar ist, wonach gesucht werden muss. Deshalb war bei diesem Experiment wichtig, dass keine spezifischen Informationen über Heartbleed genutzt werden sollten. So handelte es sich um einen Fehler in der TLS-Erweiterung Heartbeat - die kannte zum damaligen Zeitpunkt aber kaum jemand.

Fehlerhafter Lesezugriff im Speicher

Bei Heartbleed handelt es sich um einen Buffer Overflow beim Lesezugriff auf den Speicher. Solche Pufferüberläufe sind sehr häufig und auch schon seit Jahrzehnten bekannt. Als der Chaos Computer Club vor 30 Jahren das BTX-System der damaligen Deutschen Post hackte, nutzten die CCC-Mitglieder einen Bug, der Heartbleed erstaunlich ähnlich ist - zumindest wenn man ihrer Version der Geschichte glaubt.

Stellenmarkt
  1. Diehl Metall Stiftung & Co. KG, Röthenbach an der Pegnitz
  2. Viega Holding GmbH & Co. KG, Attendorn

Ein einfaches Beispiel für einen Buffer Overflow: Ein Programm nutzt einen Speicherbereich, der zehn Bytes lang ist. Versucht das Programm nun, aus diesem Speicherbereich 20 Bytes zu lesen, greift die Software auf den Speicher zu, der sich daneben befindet. Was dort gerade liegt, ist nicht genau vorhersehbar und hängt von vielen Details ab.

Um ein Programm erfolgreich fuzzen zu können, müssen die entsprechenden Fehler natürlich erkennbar sein, etwa durch einen Programmabsturz. Doch während schreibende Buffer Overflows meistens ein Programm zum Absturz bringen, läuft Software bei lesenden Buffer Overflows oft einfach weiter.

Es gibt eine Reihe von Tools, die eine bessere Erkennung von ungültigen Speicherzugriffen ermöglichen. Ein bekanntes Tool dieser Art ist Valgrind. Allerdings hat es einen Nachteil: Es ist extrem langsam, und die Ausführung eines Programms mit Hilfe von Valgrind dauert etwa zwanzigmal so lang wie sonst. Da man beim Fuzzing ein Programm millionenfach aufruft, ist Valgrind hier impraktikabel.

Address Sanitizer und American Fuzzy Lop 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. und The Crew 2 gratis erhalten
  3. bei Caseking kaufen

Manga 27. Apr 2015

Ja stimmt... Du hast vollkommen recht... Es ist in der Größenordnung wie Native code...

olleIcke 16. Apr 2015

btw: bei xkcd wurde es auch schön anschaulich erklärt wie ich finde: xkcd.com/1354...

EvilSheep 09. Apr 2015

dem wunsch schliese ich mich an!

estev 09. Apr 2015

Made my day.

heftig 09. Apr 2015

Verdammt... zu spät :D


Folgen Sie uns
       


LG G7 Thinq - Test

Das G7 Thinq ist LGs zweites Smartphone unter der Thinq-Dachmarke. Das Gerät hat eine Kamera, die mit Hilfe künstlicher Intelligenz Bildinhalte analysiert und anhand der Analyseergebnisse die Bildeinstellungen verändert. Mit äußerster Vorsicht sollten Nutzer die Gesichtsentsperrung verwenden, da sie sich in der Standardeinstellung spielend leicht austricksen lässt.

LG G7 Thinq - Test Video aufrufen
Urheberrrecht: Etappensieg für Leistungsschutzrecht und Uploadfilter
Urheberrrecht
Etappensieg für Leistungsschutzrecht und Uploadfilter

Trotz aller Proteste: Der Rechtsausschuss des Europaparlaments votiert für ein Leistungsschutzrecht und Uploadfilter. Nun könnte das Plenum sich noch dagegenstellen.

  1. Leistungsschutzrecht Nur Einschränkungen oder auch Chancen?
  2. Vor Abstimmung 100 EU-Abgeordnete lehnen Leistungsschutzrecht ab
  3. Urheberrecht EU-Staaten für Leistungsschutzrecht und Uploadfilter

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

    •  /