Ny automatiserad lösning förbättrar säkerhetsteknikens användning

Trots att avancerad säkerhetsteknik finns tillgänglig är dess användning förvånansvärt låg. Forskare från Umeå universitet har nu avslöjat orsaken och lanserar ett automatiserat verktyg för att förenkla implementeringen av tekniken. Det framgår av Sabine Houys avhandling, som belyser det låga utnyttjandet av Controll Flow Integrity, CFI, inom moderna operativsystem.

CFI är en inbyggd säkerhetsmekanism som skyddar mot attacker genom att förhindra att angripare utnyttjar sårbarheter i programvara. ”Angripare kan använda sådana brister för att omdirigera programflödet och köra skadlig kod,” förklarar hon.

Även om CFI är tekniskt mogen, används den sällan. ”Mindre än en procent av programvarupaketen i stora Linux-distributioner använder CFI,” säger hon. Detta trots att tekniken är ett robust skydd.

Houy och hennes team stötte på betydande problem när de försökte aktivera CFI i Open JDK. ”Att lösa problemen krävde omfattande manuellt arbete för att förstå varför säkerhetsverktyget krockade med hur programvaran var byggd,” säger hon.

Problemet beror inte på att CFI är ineffektiv, utan på komplexiteten i verklig programvara, som ofta bryter mot de antaganden CFI bygger på. För att åtgärda detta har Houy utvecklat ett verktyg, CFIghter, som automatiskt upptäcker och reparerar kompatibilitetsproblem.

”I tester på verkliga programvaruprojekt lyckades vår lösning aktivera CFI där manuella försök hade varit både tidskrävande och tekniskt svåra,” förklarar hon.

Forskningens resultat har stor betydelse för mjukvarusäkerhet i kritiska system. ”Utvecklare vill använda säkerhetstekniker, men tröskeln blir för hög när verktygen inte fungerar som de ska,” säger hon.

Även om CFI inte kommer att eliminera alla säkerhetsrisker kan den höja ribban för angripare som utnyttjar sårbarheter. ”Genom att göra det mer tillgängligt kan man avsevärt höja ribban för angripare som utnyttjar minneskänsligheter i kritiska mjukvarusystem,” säger Houy.

Sabine Houy kommer att försvara sin avhandling den 17 februari, med titeln Control Flow Integrity in Practice: Retrospectives, Realities, and Automated Enforcement. Hon betonar att säkerhetsverktyg måste vara lätta att integrera för att verkligen skydda mot hot.

”Att göra säkerhetsverktyg enklare att använda är lika viktigt som att göra dem tekniskt solida,” förklarar hon.