fuzztesting技術(shù)及其在工控系統(tǒng)信息安全領(lǐng)域的應(yīng)用_W

1、Page 12014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. 西門子中國研究院，2014協(xié)議健壯性測試 -及其在工控信息安全領(lǐng)域的應(yīng)用Restricted Siemens AG 2013. All rights reserved 信息安全的新戰(zhàn)場工業(yè)基礎(chǔ)設(shè)施與傳統(tǒng)的IT信息安全不同，工業(yè)基礎(chǔ)設(shè)施中關(guān)鍵ICS系統(tǒng)的安全會(huì)導(dǎo)致： 系統(tǒng)性能下降，影響系統(tǒng)可用性關(guān)鍵控制數(shù)據(jù)被篡改或喪失失去控制 環(huán)境 人員傷亡 公司聲譽(yù)受損危及公眾生活及破壞基礎(chǔ)設(shè)施 嚴(yán)重的經(jīng)濟(jì)損失等 Page 32014Corporate

2、 TechnologyRestricted. Siemens AG 2013. All rights reserved.工業(yè)基礎(chǔ)設(shè)施構(gòu)成了我國國民經(jīng)濟(jì)、現(xiàn)代 社會(huì)以及的重要基礎(chǔ)，而工業(yè)基礎(chǔ)設(shè)施的核心是其工業(yè)控制系統(tǒng)（ICS） 工業(yè)信息安全變得日益重要 導(dǎo)致自動(dòng)化工廠脆弱性的主要趨勢：在所有網(wǎng)絡(luò)層次上的橫向與垂直集成將自動(dòng)化網(wǎng)絡(luò)與IT網(wǎng)絡(luò)相連，以及為實(shí)現(xiàn)遠(yuǎn)程維護(hù)與Internet連接 越來越多采用開放標(biāo)準(zhǔn)以及基于PC的系統(tǒng) 各種潛在的安全威脅日益增長未授權(quán)人員的非法訪問 活動(dòng)、非法操縱控制數(shù)據(jù) 由于惡意軟件導(dǎo)致的數(shù)據(jù)丟失、損壞等等 越來越多的安全揭示出自動(dòng)化工廠存在安全脆弱性！ Page 420

3、14Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. ICS安全測試：盡早發(fā)現(xiàn)并修復(fù)安全缺陷0-day Vulnerability Identification based onRobustness/Fuzz TestingPort Scanner Little recognition of ICS protocols and devicesSome PLCs are known to fail when scanned aggressivelyKnown Flaws ScanningVulnerabil

4、ity ScannerPoor granularityLots of false positivesLack of the ability to identify 0-day vulnerabilitiesA Multi-prongedApproachSpecification Misuse TestingPenetration Testing ToolImplementation Flaws IdentificationTest of the tester rather than test of the systemStop at the first success: miss of mor

5、e serious threatsDetection of System CrashesPage 52014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. 健壯性測試（Fuzz Testing）自1990年以來，健壯性測試（或稱為模糊測試，fuzz testing）作為一種新型的黑盒測試技術(shù)在檢測軟件、產(chǎn)品及系統(tǒng)中存在的安全漏洞方面取得了顯著的成功。 借助于健壯性測試，有可能在系統(tǒng)測試階段檢測出那些可能會(huì)被忽略的產(chǎn)品或系統(tǒng)缺陷。由于健壯性測試的成本相對較低并且可以自動(dòng)化，健壯性測試技術(shù)近年來在網(wǎng)絡(luò)協(xié)議實(shí)

6、現(xiàn)的安全性測試領(lǐng)域正得到日益廣泛的應(yīng)用。 健壯性測試所發(fā)現(xiàn)的產(chǎn)品、系統(tǒng)故障多數(shù)是非常嚴(yán)重的，可被所利用的安全缺陷。Page 62014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. 協(xié)議健壯性測試：分類J. Antunes等人在其文章“Vulnerability Discovery with Attack Injection”（ IEEE Transactions on Software Engineering, Vol. 36, No. 3, pages 357-370, 2010. ） 首先針對被測

7、系統(tǒng)提出了一個(gè)非常有用的模型，將其劃分為三個(gè)層次： 輸入訪問（input access）輸入數(shù)據(jù)驗(yàn)證（input data validation） 實(shí)現(xiàn)的功能（implemented function） 這些層次構(gòu)成了軟件或協(xié)議實(shí)現(xiàn)可能受到攻擊的三個(gè)不同的平面（attacking surface）。與此相對應(yīng)，根據(jù)可能成功滲透到的實(shí)現(xiàn)邏輯的層次，可以將模糊測試劃分為三類：隨機(jī)模糊測試（Random fuzzing） 文法模糊測試（Syntax fuzzing） 綜合模糊測試（Synthesized fuzzing）Page 72014Corporate TechnologyRestricted

8、. Siemens AG 2013. All rights reserved. 隨機(jī)模糊測試（Random Fuzzing）1990年，B.P. Miller發(fā)現(xiàn)由于雷電引起的錯(cuò)誤的輸入指令可以導(dǎo)致Unix操作系統(tǒng)中的應(yīng)用程，受此啟發(fā)提出了模糊測試的概念，并用fuzzing（或fuzz testing）命名此類測試。 序最初的模糊測試（或健壯性測試）只是簡單地將隨機(jī)數(shù)據(jù)作為輸入測試不同操作系統(tǒng)（B.P. Miller對POSIX Unix和Windows NT進(jìn)行了測試）的API或應(yīng)用程序。其基本思想是將一組隨機(jī)數(shù)據(jù)作為程序的輸入，同時(shí)監(jiān)視程序運(yùn)行過程中是否出現(xiàn)異常，并通過記錄導(dǎo)致異常的輸入數(shù)

9、據(jù)以定位出軟件中缺陷。因此可以將此類模糊測試技術(shù)歸類為隨機(jī)測試一種。 隨機(jī)模糊測試的優(yōu)點(diǎn)是比較簡單，易于實(shí)現(xiàn)，在測試實(shí)踐中采用這種方法也發(fā)現(xiàn)了很多安全缺陷。但其缺點(diǎn)也同樣明顯，隨機(jī)模糊測試僅能滲透到協(xié)議實(shí)現(xiàn)邏輯最外面的輸入訪問層。由于網(wǎng)絡(luò)協(xié)議通常都會(huì)定義其報(bào)文的文法格式，而協(xié)議實(shí)現(xiàn)或多或少地都會(huì)根據(jù)協(xié)議規(guī)范對輸入報(bào)文進(jìn)行格式檢查，所以純粹的隨機(jī)輸入通常無法對協(xié)議實(shí)現(xiàn)進(jìn)行有效的測試。 Page 82014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. 文法模糊測試（Syntax Fuzzing）協(xié)議網(wǎng)絡(luò)報(bào)

10、文的文法處理是一個(gè)復(fù)雜而易于出錯(cuò)的過程，尤其是當(dāng)報(bào)文字段采用了編碼（如ASN.1 ）時(shí)。不恰當(dāng)?shù)木幋a實(shí)踐可能會(huì)在協(xié)議實(shí)現(xiàn)中遺留下嚴(yán)重的缺陷。而協(xié)議健壯性就是要力爭發(fā)現(xiàn)這些隱藏在數(shù)據(jù)驗(yàn)證層的問題。 因此，協(xié)議健壯性測試技術(shù)也相應(yīng)地進(jìn)化到了文法測試階段。 文法模糊測試基于協(xié)議實(shí)現(xiàn)（在協(xié)議規(guī)范中定義）的報(bào)文文法，有意將畸形的文法元素注入到測試報(bào)文，或?qū)戏ǖ膱?bào)文進(jìn)行變異，從而試圖觸發(fā)協(xié)議實(shí)現(xiàn)中有缺陷的代碼，導(dǎo)致協(xié)議規(guī)范中規(guī)定的操作遭到破壞。 目前，屬于文法模糊測試的工具有很多，比較有代表性的是PROTOS、SPIKE、Sully與 Peach。 Page 92014Corporate Technol

11、ogyRestricted. Siemens AG 2013. All rights reserved. 開源文法模糊測試工具SPIKE 是Dave Aitel開發(fā)的模糊測試工具。SPIKE首先提出了通用（不局限于某個(gè)協(xié)議）的模糊測試框架（或稱模糊測試生成工具）的概念，并提供了開源工具。研究者基于SPIKE框架開發(fā)出的各種協(xié)議安全測試套件，發(fā)現(xiàn)了很多著名的安全漏洞。SPIKE提供了一組用C實(shí)現(xiàn)的腳本原語，在此基礎(chǔ)上用戶可以用特定的腳本描述協(xié)議報(bào)文的文法格式。從而實(shí)現(xiàn)了被測協(xié)議邏輯（報(bào)文文法）與模糊測試的實(shí)現(xiàn)邏輯的分離，用戶不需要關(guān)注模糊測試的實(shí)現(xiàn)細(xì)節(jié)，只需要根據(jù)被測協(xié)議的報(bào)文撰寫對應(yīng)的測試腳本

12、即可。與SPIKE類似的另一個(gè)開源工具是基于Python實(shí)現(xiàn)的Sully。Peach是另一款非常著名的跨平臺開源模糊測試框架，最早的版本發(fā)布于2004年，采用Python編寫。但其3. 版本轉(zhuǎn)為基于.Net平臺，采用C#重寫了整個(gè)代碼。在Peach中，用戶可以定義基于XML的Peach Pit文件，用于描述測試報(bào)文格式，變異方式，乃至協(xié)議狀態(tài)機(jī)。 Page 102014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. 綜合模糊測試（ Synthesized fuzzing ）盡管面向協(xié)議報(bào)文文法的模糊測試

13、技術(shù)在協(xié)議安全與健壯性測試領(lǐng)域取得了顯著的成績，但文法模糊測試的局限性在于其僅僅滲透到了J. Antunes模型的輸入數(shù)據(jù)驗(yàn)證層，更深層次的協(xié)議功能邏輯還少有觸及。 包括工控協(xié)議在內(nèi)的網(wǎng)絡(luò)協(xié)議的目的是定義一種標(biāo)準(zhǔn)的通信語言。其中，文法規(guī)則定義了報(bào)文格式 行為規(guī)則定義了交互數(shù)據(jù)的語義與功能而協(xié)議文法是與其語義及功能緊密相關(guān)的。例如，某個(gè)報(bào)文字段的有效取值是由協(xié)議文法所定義，但同時(shí)該字段的不同取值可能會(huì)觸發(fā)協(xié)議實(shí)現(xiàn)的不同（響應(yīng)）行為。因此，更完備、徹底的協(xié)議安全與健壯性測試應(yīng)當(dāng)能夠綜合地考慮協(xié)議規(guī)范的報(bào)文文法和行為模型。 Page 112014Corporate TechnologyRestric

14、ted. Siemens AG 2013. All rights reserved. Styx: Security Testing System for Protocol X2007年開始研發(fā)，目前已被西門子德國的多個(gè)業(yè)務(wù)集團(tuán)用于系統(tǒng)測試。 Highly scalable Deep attacking surface Substantial knowledge requiredRegular ExpressionSecurity KnowledgeFault GeneratorDUTWhat to injectWhere to injectProtocol Analyzer0day vulne

15、rabilitiesand millions of mutantsProtocol SpecificationNetwork Traces Easy-to-use Totally automatic for system testing Customizable according requirementsPage 122014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. Supported ProtocolsPage 132014Corporate TechnologyRestricted. Sie

16、mens AG 2013. All rights reserved.ProtocolCovered PDUScriptsMutantOMS13376,865S7-Communication618292,211TPKT1315,743COTP13224,103LLDP13831,424PN-DCP515444,243PN-CM26323,417PN-MRP26223,213PN-PTCP13107,300DCE-RPC over UDP1340,511MMS26213,248Ethernet31927,532ARP2816,111SNMPv139568,259SNMPv3391,544,784S

17、SLv339378,491Total371315,637,857 PROFINET Wall - Secured PROFINET CellPage 142014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved. Industrial Security Wall - Security for Control CellsPage 152014Corporate TechnologyRestricted. Siemens AG 2013. All rights reserved.14Corporate TechnologyRestricted. Siemens AG Industrial Security Lab Testbed (1)20Page 162013. All rights reserved. 謝謝！ Q&A P