Fuzzing: automatyczne znajdowanie błędów w kodzie C/C++ przy użyciu AFL

O fuzzingu zazwyczaj słyszy się przy okazji wykrycia groźnych bugów takich jak Heartbleed czy Shellshock. W ubiegłym roku moim zadaniem było wykorzystanie tej techniki do znalezienia dziur w dobrze przetestowanym, komercyjnym programie. Eksperyment, który przez miesiące katował kilkadziesiąt rdzeni, zakończył się sukcesem.

Na prezentacji chciałem podzielić się z Wami tym czego się nauczyłem. Po krótkim wprowadzeniu, przedstawię istotne szczegóły działania popularnego fuzzera AFL, które pozwolą efektywnie i ze zrozumieniem go użyć. Następnie opowiem jak wyglądał fuzzing w moim przypadku, a w szczególności przedstawię triki i haki, które pozwoliły mi osiągnąć zamierzony efekt w skończonym czasie. Nie zabraknie też krótkiego dema.

O prelegencie:

Andrzej Jackowski, absolwent MIMUW. Od kilku lat pracuje przy rozwoju backendu systemu NEC HYDRAstor.

Po spotkaniu zapraszamy na after w Mam Ochotę, którego sponsorem będzie firma 9livesdata.