Fuzzing para o Protocolo TLS: Estado da Arte e Comparação de Fuzzers Existentes
Resumo
Dentre as várias formas de verificar a implementação de um protocolo, os testes fuzzing merecem destaque, dados os bons resultados alcançados nos últimos anos tanto no sentido de cobrir o código que implementa um protocolo, quanto no sentido de encontrar bugs que podem causar falhas de segurança. Este artigo apresenta resultados preliminares decorrentes da investigação de fuzzers existentes para o protocolo TLS, com o objetivo final de modificar um deles para um novo protocolo de segurança. É mostrado que nem todos os fuzzers existentes são funcionais e que, dentre aqueles que de fato funcionam, o tlsfuzzer merece destaque a ponto de ser considerado como o ideal para ser adaptado para verificar a implementação do protocolo SPDM.
Referências
Alves, R. C. A., Albertini, B. C., and Simplicio, M. A. (2022). Securing Hard Drives with the Security Protocol and Data Model (SPDM). In 2022 IEEE Computer Society Annual Symposium on VLSI (ISVLSI), pages 446–447.
Beurdouche, B., Bhargavan, K., Delignat-Lavaud, A., Fournet, C., Kohlweiss, M., Pironti, A., Strub, P.-Y., and Zinzindohoue, J. K. (2017). A Messy State of the Union: Taming the Composite State Machines of TLS. Commun. ACM, 60(2):99–107.
DMTF (2020). Security Protocol and Data Model Specification (SPDM). [link]. Acessado em 17 de Julho de 2023.
DMTF (2021). This openspdm is a sample implementation for the DMTF SPDM specification. [link]. Acessado em 17 de Julho de 2023.
DMTF (2023). Security Protocols and Data Models Working Group. [link]. Acessado em 17 de Julho de 2023.
Li, R., Diao, W., Li, Z., Du, J., and Guo, S. (2021). Android Custom Permissions Demystified: From Privilege Escalation to Design Shortcomings. In 2021 IEEE Symposium on Security and Privacy (SP), pages 70–86.
Rodriguez, L. G. A. and Batista, D. M. (2023). Resource-Intensive Fuzzing for MQTT Brokers: State of the Art, Performance Evaluation, and Open Issues. IEEE Networking Letters, 5(2):100–104.
Beurdouche, B., Bhargavan, K., Delignat-Lavaud, A., Fournet, C., Kohlweiss, M., Pironti, A., Strub, P.-Y., and Zinzindohoue, J. K. (2017). A Messy State of the Union: Taming the Composite State Machines of TLS. Commun. ACM, 60(2):99–107.
DMTF (2020). Security Protocol and Data Model Specification (SPDM). [link]. Acessado em 17 de Julho de 2023.
DMTF (2021). This openspdm is a sample implementation for the DMTF SPDM specification. [link]. Acessado em 17 de Julho de 2023.
DMTF (2023). Security Protocols and Data Models Working Group. [link]. Acessado em 17 de Julho de 2023.
Li, R., Diao, W., Li, Z., Du, J., and Guo, S. (2021). Android Custom Permissions Demystified: From Privilege Escalation to Design Shortcomings. In 2021 IEEE Symposium on Security and Privacy (SP), pages 70–86.
Rodriguez, L. G. A. and Batista, D. M. (2023). Resource-Intensive Fuzzing for MQTT Brokers: State of the Art, Performance Evaluation, and Open Issues. IEEE Networking Letters, 5(2):100–104.
Publicado
18/09/2023
Como Citar
VELOZO, Filipe T.; FERREIRA, Thiago D.; PACHECO, Eduardo F.; ALVES, Renan C. A.; SIMPLICIO JR., Marcos A.; ALBERTINI, Bruno C.; BATISTA, Daniel M..
Fuzzing para o Protocolo TLS: Estado da Arte e Comparação de Fuzzers Existentes. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 23. , 2023, Juiz de Fora/MG.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2023
.
p. 303-308.
DOI: https://doi.org/10.5753/sbseg_estendido.2023.235133.
