Titelaufnahme

Titel
Kombinatorisches Testen des Linux Kernels mit Anwendungen für Computersicherheit
Weitere Titel
Combinatorial Testing of the Linux Kernel with Applications to Computer Security
AutorInnenWürfl, Fabian
GutachterSchmiedecker, Martin
Erschienen2017
Umfangvii, 61 Blatt
HochschulschriftWien, FH Campus Wien, Masterarb., 2017
Datum der AbgabeDezember 2017
SpracheEnglisch
DokumenttypMasterarbeit
Schlagwörter (DE)Kombinatorisches Testen / Großserientests / Sicherheitsüberprüfungen / Linux kernel / Systemaufrufschnittstelle
Schlagwörter (EN)Combinatorial testing / Large-scale testing / Security testing / Linux kernel / System call interface
Schlagwörter (GND)LINUX / Software / Datensicherung
URNurn:nbn:at:at-fhcw:1-1990 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
Kombinatorisches Testen des Linux Kernels mit Anwendungen für Computersicherheit [0.71 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

In der modernen IT-Landschaft steigt die Anzahl der im Einsatz befindlichen Linux-Geräte stetig. Dies betrifft vor allem Smartphones (Android), Internet-Of-Things-Geräte wie beispielsweise Router und Fernseher, Supercomputer und Webserver [1] [2] [3]. Jüngste statistische Analysen für den Linux Kernel zeigen, dass die Lebenszeit von Softwarefehlern (das inkludiert auch Sicherheitsschwachstellen) sukzessive steigt [4]. Um diesem Trend entgegen zu wirken, ist es nicht nur erforderlich sichere Entwicklungsprozesse einzusetzen, sondern es ist auch enorm wichtig den gesamten Kernel durchgehend zu testen - inklusive gezielter Tests auf potentielle Sicherheitsschwachstellen.

Diese Arbeit beschäftigt sich mit der Weiterentwicklung von ERIS, einem Testframework, welches kombinatorisches Testen des Linux system call interfaces ermöglicht [5]. Im Speziellen wurden Erweiterungen implementiert, die das effizientere Finden von sicherheitskritischen Schwachstellen im Linux Kernel ermöglichen, sowie Möglichkeiten bieten um system calls des Netzwerkstacks besser testen zu können.

Dazu war unter anderem die Analyse verschiedener Datenquellen, bezüglich existierender und früherer Schwachstellen im Linux Kernel (Linux Kernel Mailing Liste, git history und Schwachstellenbeschreibungen) notwendig, allerdings auch das Modellieren und Einbinden eines neuen system calls (setsockopt) in das vorhandene ERIS-framework. Dieser gesamte Prozess wird, inklusive bestehender Limitierungen und zukünftiger Verbesserungsmöglichkeiten, nachvollziehbar beschrieben.

Um die Ergebnisse der praktischen Umsetzung auszuwerten wurde ein Testlauf mit den neuen Ergänzungen durchgeführt. Die Ergebnisse dieses Testlaufs, inklusive Analysen für die weiteren Schritte, werden ebenfalls in dieser Arbeit präsentiert.

Abschließend werden die gesamten Ergebnisse zusammengefasst. Außerdem wird noch einmal darauf eingegangen, welche Verbesserungen zukünftig am ERIS-framework möglich sind.

Diese Masterarbeit resultierte außerdem in der Veröffentlichung des folgenden Papers:

1. B. Garn, F. Würfl, and D. E. Simos, KERIS: A CT Tool of the Linux Kernel

with Dynamic Memory Analysis Capabilities, pp. 225228. Cham: Springer

International Publishing, 2017.

Zusammenfassung (Englisch)

In the modern IT landscape, the number of Linux-powered devices is steadily increasing. This is especially true for Smartphones (Android), Internet-of-Things-devices such as routers and TVs, super computers, and web servers [1] [2] [3]. Recently, statistical analysis showed that the lifetime of kernel bugs (including security vulnerabilities) is gradually increasing [4]. To counter this trend it is important to not only deploy a secure development process but to also continuously test the entire kernel - including targeted tests for potential security vulnerabilities.

This thesis deals with the advancement of ERIS, a testing framework for combinatorial tests of the Linux system call interface [5]. To be exact, enhancements were developed which allow for more efficient testing for security vulnerabilities in the Linux kernel. Additionally, ERIS was made capable of testing networking related system calls.

In order for all of this to be achieved, it was necessary to analyze different data sources regarding existing and former security vulnerabilities within the Linux kernel, (Linux Kernel Mailing List, git history, vulnerability descriptions). Furthermore, a networking related system call (setsockopt) was modeled and introduced into the existing ERIS-framework. This entire process, including existing limitations and future potentials, is presented comprehensibly.

For evaluation purposes of the results of the practical process, a test run with the new additions was performed. The results of it, including analysis for the next steps, are also discussed in this thesis.

In the end, all results and potential future improvements are summarized.

Additionally, the following publication is arisen from this thesis:

1. B. Garn, F. Würfl, and D. E. Simos, KERIS: A CT Tool of the Linux Kernel

with Dynamic Memory Analysis Capabilities, pp. 225228. Cham: Springer

International Publishing, 2017.

Statistik
Das PDF-Dokument wurde 23 mal heruntergeladen.