Projektbeschreibung
Entfernen bösartiger Daten schützt Software
Ein wichtiges Anliegen der Systemsoftware ist ein wirkungsvoller Schutz. Es sind bereits erhebliche Anstrengungen unternommen worden, um eine Lösung zu finden. Schätzungen zufolge werden jedoch jeden Monat ungefähr 60 Sicherheitslücken entdeckt. Grund dafür ist, dass Systemsoftware gegenüber Fehlern auf niedriger Ebene anfällig ist, die aus undefiniertem Verhalten resultieren. Das EU-finanzierte Projekt CodeSan schlägt eine ganzheitliche Methode zur Verbesserung der Codequalität vor. Die Software zur Reinigung des Codes bietet eine automatische Fehlererkennung während der Entwicklung und schützt die bestehende Software durch reflektierende Maßnahmen. CodeSan ist eine aufregende, umfassende und flexible Methode der effizienten Verwaltung des undefinierten Verhaltens für komplexe Softwaresysteme. Sie ist in der Lage, große Softwaresysteme wie zum Beispiel Google Chrome und Mozilla Firefox zuverlässig zu verteidigen.
Ziel
Despite massive efforts in securing software, about 60 security bugs are publicly reported each month. Systems software is prone to low level bugs caused by undefined behavior (memory corruption, type confusion, or API confusion). Exploits abuse undefined behavior to execute attacker specified code, or to leak information. We propose code sanitization (CodeSan), a comprehensive approach to improve code quality. CodeSan will sanitize software by (i) automating bug discovery during development through software testing and (ii) protecting deployed software through reflective mitigations. CodeSan trades formal completeness for practical scalability in three steps: First, policy-based sanitization makes undefined behavior (through violations of memory safety, type safety, or API flow safety) explicit and detectable given concrete test inputs. Second, automatic test case generation increases testing coverage for large programs without the need for pre-existing test cases, enabling broader and automated use of policy-based sanitization. Third, for deployed software, reflective mitigations place runtime checks precisely where they are needed based on data-flow and control-flow coverage from our testing efforts. CodeSan complements formal approaches by protecting software that is currently out of reach due to its size, complexity, or low level nature.
CodeSan is a compelling, comprehensive, and adaptive approach to thoroughly address undefined behavior for complex software. The three proposed thrusts complement each other naturally and will immediately guard large software systems such as Google Chromium, Mozilla Firefox, the Android system, or the Linux kernel, making them resilient against attacks.
In line with PI Payer’s track record on open sourcing his group’s research artifacts on cast sanitization, transformative fuzzing, or control-flow hijacking mitigations, all prototypes produced during CodeSan will be released as open-source.
Wissenschaftliches Gebiet
Schlüsselbegriffe
Programm/Programme
Thema/Themen
Finanzierungsplan
ERC-STG - Starting GrantGastgebende Einrichtung
1015 Lausanne
Schweiz