Αξιολόγηση αυτοματοποιημένων εργαλείων στατικής ανάλυσης C/C++ κώδικα με εστίαση σε ευπάθειες υπερχείλισης

Abstract

Η παρούσα διπλώματική εργασία μελετάει και αξιολογεί την απόδοση ανοιχτού κώδικα εργαλείων στατικής ανάλυσης εφαρμοσμένα σε δημοφιλή, ανοιχτού κώδικα πραγματικά πακέτα λογισμικού υλοποιημένα σε C/C++. Η βιβλιογραφία περιέχει αρκετές μελέτες τέτοιων εργαλείων, αλλά η πλειοψηφία τους εφαρμόζεται σε σουίτες ελέγχου ειδικά διαμορφωμένες ώστε εσκεμμένα να περιλαμβάνουν πληθώρα προβλημάτων ασφάλειας. Συγκεκριμένα, παρά την αυξημένη δυσκολία λόγω της απαίτησης για χειροκίνητη επιβεβαίωση των ευρημάτων, σε αντίθεση με την προαναφερόμενη προσέγγιση, θεωρήθηκε σημαντικό τα εργαλεία ανάλυσης κώδικα να εκτελεστούν σε πραγματικά πακέτα λογισμικού, συγκεκριμένα στα Kodi Home Theater και Telegram. Αυτό θα επιτρέψει την εξαγωγή συμπερασμάτων σχετικά με την απόδοση των εργαλείων σε πραγματικές συνθήκες. Τα πακέτα λογισμικού που επιλέχθηκαν βρίσκονται σε ώριμο επίπεδο ανάπτυξης, άρα το ενδιαφέρον επικεντώνεται σε τυχόν παραμένοντα προβλήματα ασφάλειας. Η μελέτη επικεντρώθηκε σε προβλήματα υπερχείλισης και πιο συγκεκριμένα σε Buffer Overflows (CWE-120) και Integer Overflows (CWE-190). Ως εργαλεία στατικού ελέγχου επιλέχτηκαν τα Flawfinder και CppCheck (cli|gui). Συνολικά, αφού παρουσιαστεί το θεωρητικό υπόβαθρο, η διπλωματική εστιάζει στο πειραματικό μέρος, δηλαδή την εκτέλεση των εργαλείων ανάλυσης κώδικα στα δύο επιλεγμένα πακέτα λογισμικού και τον έλεγχο της ορθότητας των ευρημάτων. Συμπερασματικά, παρόλο που και τα δύο εργαλεία ανίχνευσαν κενά ασφαλείας στο κώδικα και των δύο πακέτων λογισμικού, τα προβλήματα αυτά δεν είναι άμεσα (πρακτικά) εκμεταλλεύσιμα.

This Master thesis explores and assesses the performance of open source static analysis tools, applied to popular open source real-life projects implemented in C/C++. The bibliography presents several studies of such tools, however their majority have been applied to specially designed software test suites which include a great number of deliberate security flaws. Even though the difficulty of such a process is increased due to the need for manual verification of the findings, in contrast to the aforementioned approaches, it was considered important that such tools should be applied to real-life software projects, specifically Kodi Home Theater and Telegram. This will enable testers to draw conclusions about the performance of such tools against real-life mature software and provide comparisons with results stemming from software test suites. Specifically, the chosen software projects are in a mature development stage, assuring that any verification actions by the development team are already complete. Therefore, it is interesting to check if the analysis tools can identify any remaining, latent security flaws. The study is focused on overflow vulnerabilities, specifically on Buffer Overflows (CWE-120) and Integer Overflows (CWE-190). Flawfinder and CppCheck (cli|gui) were chosen as the static analysis tools to be tested. Initially, a theoretical analysis of all components that contributed to this thesis is presented, which is followed by the tools' execution targeting the aforementioned software projects. We present the findings after verifying them; this provides an initial, empirical assessment of the tool's performance as well. It is interesting to see that although both the tools were able to detect existing security flaws in various parts of the software projects, these flaws were structured in such a way that they are not directly exploitable.