Statyczna analiza kodu źródłowego

Transkrypt

1 Statyczna analiza kodu źródłowego Tomasz Nowak, Zespół Bezpieczeństwa PCSS Poznań, r. Szkolenie Działu Komputerów Dużej Mocy

2

3 Informacje organizacyjne Ankieta krótka anonimowa bardzo pomocna w organizacji przyszłych szkoleń Lista obecności nie jest anonimowa ;-) proszę zaznaczyć, jeśli NIE życzycie sobie Państwo otrzymywania informacji o kolejnych szkoleniach Prezentacja dostępna na stronach WWW: 3

4

5

6 Szkolenia Zespołu Bezpieczeństwa PCSS Szkolenia Działu KDM PCSS (otwarte) Możliwość zgłoszenia tematu Szkolenia projektowe Centrum Innowacji Microsoft (otwarte GN3 bezpieczne programowanie (dla uczestników projektu) Szkolenia dla firm i organizacji (nowość) Wprowadzenie do kwestii bezpieczeństwa IT 6

7 Szkolenie bezpieczne programowanie 2-dniowe szkolenie angielskojęzyczne Wykorzystanie technologii podnoszących bezpieczeństwo usług Przegląd podatności bezpieczeństwa (C/C++, Java, PHP) Statyczna analiza kodu źródłowego Materiały z czerwca 2010: strona ZB PCSS Styczeń 2011: kolejna edycja (prawdopodobnie udostępnione zostaną nagrania wykładów) 7

8 Szkolenie wprowadzenie do bezpieczeństwa IT 2-4 godzinne szkolenie dla wszystkich pracowników korzystających z infrastruktury IT Dlaczego bezpieczeństwo jest ważne? Ochrona mojego komputera Bezpieczne korzystanie z Internetu Tworzenie i wykorzystywanie silnych haseł Gdy celem jest człowiek spam, łańcuszki, socjotechniki Szkolenie w siedzibie PCSS lub organizacji Warunki podlegają indywidualnym negocjacjom Kontakt: gerard.frankowski@man.poznan.pl 8

9 Statyczna analiza kodu źródłowego 9

10 Agenda Problemy z błędami w oprogramowaniu Analizatory w praktyce (wg języków) Automatyzacja narzędzi i rozwiązania Continuous Integration 10

11 Cel: niezawodne oprogramowanie Czasem: błędy nie mają znaczenia Niższe koszty utrzymania Telefony / e od klientów Wykonanie poprawek Wydanie nowych wersji (Płatny support szczególne wymagania) Utrzymanie zadowolenia klienta Klienci z polecenia Zadowolenie zespołu Nowe projekty 11

12 Droga do niezawodnego oprogramowania Dobre praktyki tworzenia kodu Właściwy paradygmat (obiektowo/deklaratywnie...) Zrozumiały kod (identyfikatory, unikanie skrótów, komentarze) Unikanie trudnych w analizie konstrukcji (goto, eval) Współtworzenie programu i dokumentacji Analiza kodu statyczna Testy (wszelkiego rodzaju) dynamiczne Security best practices for administrators, developers and users 12

13 Dwa ważne pytania: Statyczna analiza kodu Automatyczne skanery czy czytanie kodu? Narzędzia dla programisty czy specjalisty do spraw bezpieczeństwa? 13

14 Cechy skanerów kodu źródłowego (1) Zalety Duża szybkość działania Możliwość uruchamiania okresowego w celu wykrycia nowych błędów lub weryfikacji usunięcia poprzednio wykrytych podatności Istnieje szereg narzędzi dostępnych bez opłat, jak również możliwych do samodzielnego rozszerzania (tworzenie reguł, dodatkowych wtyczek np. YASCA) 14

15 Cechy skanerów kodu źródłowego (2) Wady Nie zawsze mamy dostęp do kodu źródłowego Wykrywają jedynie błędy najłatwiejsze do strukturalnego zdefiniowania Bezwzględnie wymagają uzupełnienia przez manualny przegląd kodu Wysokie prawdopodobieństwo wystąpienia false positive Niektóre darmowe narzędzia działają nieoptymalnie, mają skomplikowany interfejs, niekompletną dokumentację, brak wsparcia 15

16 Dla kogo? Automatyczne skanery kodu wykorzystują przede wszystkim programiści Prezentujemy Państwu punkt widzenia eksperta bezpieczeństwa Narzędzia dedykowane do wykrywania błędów bezpieczeństwa to tylko część tego obszaru Takie narzędzia również mogą przydać się programistom (niekoniecznie w pełnym zakresie) Znajomość dobrych praktyk bezpiecznego programowania pomoże programistom w stosowaniu narzędzi i wykryciu false positives 16

17 C/C++ Analizatory w praktyce cppcheck rats (splint potrzebuje wszystkich nagłówków) PHP Java Python Języki webowe 17

18 C, C++: cppcheck Narzędzie do analizy kodu w C i C++ Napisane w C++ Wielowątkowość Dostępne z CLI, GUI i jako biblioteka Raporty w txt, XML, HTML Więcej: 18

19 Błędy w zarządzaniu pamięcią C/C++: wycieki pamięci Wyjście z funkcji pozostawia niezwolnioną pamięć Destruktor nie zwalnia pamięci zaalokowanej w konstruktorze Zwolnienie struktury bez zwalniania pamięci jej pól C/C++: niezgodne metody alokacji/dealokacji malloc() / free() new / delete new [ ] / delete [ ] g_malloc() / g_free() 19

20 Przykład wykrycia błędu w zarządzaniu pamięcią $ apt-get source libcroco3 $ cppcheck -quiet libcroco-0.6.2/src/*.c [cr-sel-eng.c:1381]: (error) Common realloc mistake: "stmts_tab" nulled but not freed upon failure [cr-sel-eng.c:1438]: (error) Common realloc mistake: "stmts_tab" nulled but not freed upon failure stmts_tab = g_try_realloc (stmts_tab, (tab_size + stmts_chunck_size) * sizeof (CRStatement *)); if (!stmts_tab) { cr_utils_trace_info ("Out of memory"); status = CR_ERROR; goto error; } /*... */ error: if (stmts_tab) { g_free (stmts_tab); stmts_tab = NULL; 20

21 Błędy w używaniu wskaźników [cr-statement.c:626]: (error) Possible null pointer dereference: stringue - otherwise it is redundant to check if stringue is null at line g_string_append (stringue, "}"); 626 result = stringue->str; if (stringue) { 629 g_string_free (stringue, FALSE); 630 stringue = NULL; 631 } ==================== $ apt-get source asterisk-espeak && cppcheck asterisk-espeak-*/*.c Checking asterisk-espeak-0.1/app_espeak.c... [asterisk-espeak-0.1/app_espeak.c:258]: (error) Memory leak: handle handle = (void *) malloc(sizeof(void *)); 258 handle = resample_open(1, ratio, ratio); 259 if (!handle) { 260 ast_log(log_error, "espeak: Failed open resampler\n"); 21

22 C++ Standard Template Library poprawność korzystania z API std::vector<int>::iterator iter = ints.begin() + 5; ints.insert(ints.begin(), 1); ++iter; (error) After insert, the iterator 'iter' may be invalid list<int> l1; list<int> l2; for (list<int>::iterator it = l1.begin(); it!= l2.end(); ++it) (error) Same iterator is used with both l1 and l std::vector<int> foo; for (unsigned int ii = 0; ii <= foo.size(); ++ii) { foo[ii] = 0; } (error) When ii==foo.size(), foo[ii] is out of bounds std::list<int> x; if (x.size()!= 0) {} (style) Use x.empty() instead of x.size() to guarantee fast code 22 more test cases: cppcheck/test/teststl.cpp

23 Używanie zasobów [samba/testsuite/nsswitch/getpwent_r.c]: Wrong condition used to check fopen() PATCH: - if ((fptr = fopen(fname, "w")) < 0) { + if ((fptr = fopen(fname, "w")) == NULL) { fprintf(stderr, "ERROR: could not open file %s: %s\n", fname, sys_errlist[errno]); [strongswan-4.4.1/libcharon/plugins/ha/ha_kernel.c:176]: (error) Resource leak: fd int fd; fd = open(file, O_RDONLY); if (fd == -1) { DBG1(DBG_CFG, "opening CLUSTERIP file '%s' failed: %s", file, strerror(errno)); return 0; } /*...*/ return; 23

24 C/C++: RATS Rough Auditing Tool for Security Odnajduje wystąpienia ryzykownych funkcji Obsługa wielu języków: C, C++, Perl PHP Python 24

25 RATS: wyniki print-bgp.c:2132: High: fixed size local buffer addrtoname.c:115: High: gethostbyaddr addrtoname.c:125: High: strcpy print-lldp.c:719: High: printf print-atalk.c:559: High: sscanf tcpdump.c:542: High: vfprintf tcpdump.c:603: High: getopt... 25

26 Kompilator też ostrzega gcc.gnu.org/onlinedocs/gcc/warning- Options.html pedantic ostrzeżenia wg standardów Issue all the warnings demanded by strict ISO C and ISO C++ Wall ostrzeżenia o podejrzanych konstrukcjach, które łatwo wyeliminować (nieużywane zmienne, return w funkcjach void, używanie niezainicjowanych zmiennych) Wextra (dawniej W) ostrzeżenia o trudniejszych problemach (np. wykrycie sprawdzeń wartości zmiennej unsigned < 0) 26

27 C/C++ PHP Pixy RIPS Java Python Języki webowe Analizatory w praktyce 27

28 PHP: Pixy Analizator przepływu danych w plikach PHP4 Szczególnie w poszukiwaniu błędów skutkujących podatnością na: SQL Injection Cross Site Scripting (XSS) Napisany w Javie 28

29

30 Pixy: kod potwierdza użycie zmiennej 210 if($info['userinfo']['name']){ 211 msg('you are currently logged in as '. $_SERVER['REMOTE_USER']. ' ('.$INFO['userinfo']['name'].')',0); 212 msg('you are part of the groups '.join($info['userinfo']['grps'],', '),0); 213 }else{ 214 msg('you are currently not logged in',0); 215 } Funkcja msg nie zakoduje znaków specjalnych HTML do encji (np. < lt;) Oznacza to, że w nazwie użytkownika można przemycić kod Javascript i uruchamiać go z każdym wyświetleniem strony (persistent XSS) 30

31 PHP: RIPS Analizator kodu PHP (napisany w PHP) XSS, SQL injection i inne Wizualizacja zmiennych, powiązanych funkcji, warunków Filtrowanie wyników (verbosity, type) Generator exploitów dla przeglądarki CURL 31

32 32

33 C/C++ PHP Java FindBugs PMD Python Języki webowe Analizatory w praktyce 33

34

35 Usage FindBugs Uruchamianie: pobranie, java -jar ze źródeł (Ant) pluginy do IDE, np. Eclipse, NetBeans zadanie Ant i wtyczka do maven report WebStart findbugs.cs.umd.edu/demo/ Dodatkowe wzorce fb-contrib.sourceforge.net Materiał: bytecode warto jednak podłączyć kod źródłowy i wykorzystywane biblioteki Opisy znalezisk w Google 35

36 FindBugs screenshot 36

37

38

39

40 Java: PMD PMD skaner kodu Java Crossplatform (Java) 40

41 Uruchamianie ręczne: Używanie PMD Z binarnej paczki lub ze źródeł Generowanie raportu w HTML Użycie wtyczki wiele dostępnych: JDeveloper, Eclipse, JEdit, JBuilder, BlueJ, CodeGuide, NetBeans/Sun Java Studio Enterprise/Creator, IntelliJ IDEA, TextPad, Maven, Ant, Gel, JCreator, and Emacs Plugins for IDEs, e.g. Eclipse and NetBeans Zadanie Anta, wtyczka do Maven Report 41

42 PMD screenshot (DEMO) 42

43 Otrzymane wyniki Dziesiątki zbiorów reguł pod adresem Większość znalezisk nie jest poważna Eclipse może poprawić wiele ostrzeżeń Clean up Specjalny moduł Copy/Paste Detector Wsparcie dla wielu języków programowania Przykład: 43

44 C/C++ PHP Java Python pylint pychecker pyflakes Języki webowe Analizatory w praktyce 44

45 Python pylint użycie i definicje zmiennych, importy, klasy wiele reguł dotyczących stylu kodowania Na podobnej zasadzie: pychecker, pyflakes Framework Django: django-lint 45

46 Przerwa (a następnie część II) Statyczna analiza kodu źródłowego Poznań, r.

47 Analizatory w praktyce C/C++ PHP Java Python Języki webowe JavaScript XML / HTML CSS Inne 47

48 JavaScript: jslint Głównie styl kodowania Dostępny na kilka sposobów skrypt WSH (Windows) skrypt Rhino ( JavaScript engine in Java ) 48

49 XML / HTML: tidy Validate, correct, and pretty-print HTML files Ciekawe możliwości, np.: HTML XHTML <FONT>, <CENTER>,... CSS Bardzo konfigurowalny moje ulubione parametry dla XML: -indent -xml -utf8 -wrap

50

51 CSS: W3C Validator Usługa Walidacji CSS W3C Spisuje się najlepiej, generuje ładny raport Inne programiki głównie pretty-printing csslint csstidy 51

52 (X)HTML poprawne łącza linklint przykładowa składnia: linklint -error -http -host 52

53 Integracja narzędzi z SVN (1) Cel: z listą wykrytych błędów Użycie punktu zaczepienia po zatwierdzeniu transakcji: repozytorium/hooks/post-commit Kroki svn update uruchomienie narzędzia sprawdzenie liczby błędów i wysłanie a Przykład dla FindBugs: 53

54 Integracja narzędzi z SVN (2) Cel: zablokowanie zatwierdzenia kodu z błędami Użycie punktu zaczepienia przed zatwierdzeniem: repozytorium/hooks/pre-commit Kroki svnlook changed repozytorium (dla każdego pliku) svnlook cat repozytorium plik uruchomienie narzędzia wykrycie błędów, wypisanie ich na stderr i zwrócenie kodu różnego od zera Przykład dla Pythona: 54

55 Continous Integration (3) Ciągła integracja polega na budowaniu przez serwer bieżącej wersji oprogramowania Przeprowadzenie najróżniejszych testów i analiz Serwer CI Hudson (open-source) posiada zestaw wtyczek 55

56 Więcej informacji FindBugs Pixy PMD Python Frama-C analyzer 56

57 PCSS Dane kontaktowe Zespół Bezpieczeństwa PCSS Autor prezentacji 57

58 Pytania, dyskusja 58

59 Dziękuję za uwagę!