Quel software che scova i bug. Da solo
Loading ...
Milano – Cresce lo sviluppo di applicazioni in grado di autodiagnosticare anomalie di varia natura: l’argomento è uno dei topic nella Black Hat Technical Security Conference in corso a Las Vegas, dove in più occasioni si parlerà di strumenti per la sicurezza del software che possono rilevare i bug automaticamente, individuando quelli ritenuti più pericolosi.
La caccia al bug è un’operazione che richiede attenzione e la complessità raggiunta da molti applicativi oggi in commercio non facilita le cose: a tutti gli effetti è uno sporco lavoro, ma qualcuno lo deve pur fare. Oggi – come spiega Technology Review – esistono però nuove soluzioni che agevolano l’attività di bug hunting e la sua automatizzazione, con l’obiettivo di dare agli utenti software più affidabili e sicuri. Alcuni passi in avanti sono stati resi possibili dallo sviluppo di tecniche di fuzzing, ossia l’applicazione di algoritmi che svolgono appunto la funzione di ricerca automatica di vulnerabilità.
Alla Black Hat verrà illustrato l’industrial fuzzing, ossia una metodologia più aggressiva nelle metodologie di ricerca dei bug. Questo approccio è stato adottato da Ben Nagy, ricercatore per la COSEINC di Singapore, che ha sviluppato un’applicazione che potrebbe agevolare la ricerca di anomalie dopo un incidente: nell’ambito di un progetto condotto sulle dinamiche di vari software, ha rilevato i dati relativi a migliaia di crash, alla ricerca di modelli ripetibili da utilizzare per prevenire le cause scatenanti anomalie e interruzioni.
Charlie Miller, ricercatore di Independent Security Evaluators presenterà una propria soluzione per l’analisi dei crash, la piattaforma BitBlaze messa a punto a Berkeley, una suite di strumenti che scrutano un programma dall’interno e ne seguono le dinamiche, rendendo più celere l’analisi di potenziali falle di sicurezza individuate attraverso le tecniche di industrial fuzzing. BitBlaze – spiega Miller – può arrivare a tracciare il percorso di un singolo byte, rilevando i risultati delle istruzioni impartite dall’algoritmo ed evidenziando quelli diversi da quelli attesi.
BitBlaze è stato utilizzato per analizzare le cause di crash su macchine in cui giravano sia Adobe Reader che Open Office. Miller racconta che un tempo avrebbe trascorso anche una settimana prima di capire i motivi di alcuni incidenti tecnici, mentre con la nuova piattaforma alcuni problemi sono stati analizzati quasi istantaneamente, o nell’arco di una giornata per quelli più complessi.
Soluzioni come BitBlaze potrebbero accelerare il processo di debugging seguito dalle aziende che sviluppano software, che potrebbero avvalersene per risparmiare tempo e risorse, non solo tecnologiche, ma anche umane. Al momento, comunque, è ancora poco verosimile pensare di poter fare completamente a meno del supporto umano. Identificare un bug è uno step importante, ma a questo deve seguire lo sviluppo di un fix adeguato, attività che – non raramente – richiede tuttora momenti di studio e confronto.
Dario Bonacina
