Testes de implementações de protocolos de redes por meio de fuzzers

Resumo

Dentre as várias formas de verificar a implementação de um protocolo, os testes fuzzing merecem destaque, dado os bons resultados alcançados nos últimos anos tanto no sentido de cobrir o código que implementa um protocolo, quanto no sentido de encontrar bugs que podem causar falhas de segurança. Por exemplo, em 2017 o fuzzer OSS-Fuzz encontrou um bug que permitia vazamento de informação sensível no OpenSSL. Mais recentemente, no dia 12 de Novembro de 2023, o mesmo fuzzer encontrou outro bug na mesma biblioteca. Este projeto de pesquisa visa seguir uma metodologia de fuzzer baseado em geração, já avaliada pela equipe do pesquisador responsável, para ampliar os testes de um fuzzer existente para o protocolo MQTT (Message Queuing Telemetry Transport) e para criar um novo fuzzer que teste uma implementação do recente protocolo SPDM (Security Protocol and Data Model), um protocolo que define a troca de mensagens para permitir uma comunicação segura entre diversos tipos de dispositivos, como componentes de hardware de um computador. Os resultados obtidos com os dois fuzzers serão comparados com os resultados obtidos no passado recente de forma manual em projetos que contaram com a participação do orientador desta proposta. Dessa forma, será possível avaliar prós e contras de uma estratégia automatizada (baseada em fuzzer) e de uma estratégia manual. Os resultados esperados são um relatório com a análise de desempenho dos fuzzers, além do código do fuzzer para o protocolo SPDM que será disponibilizado como software livre.