Martin Vuagnoux hat mit Autodafé ein Werkzeug entwickelt, das automatisiert Buffer Overflows in Software finden soll. Natürlich funktioniert das nur bei Netzwerkdiensten oder Programmen, die aus Dateien bzw. Pipes lesen können.
In einer einfachen Scriptsprache definiert man die Eingaben für das Zielprogramm und Autodafé maltretiert das Programm so lange, bis es mit einem Segmentation Fault wegbricht.
Praktisch vorgeführt wurde das an einem kleinen Demo-Programm mit einer typischen strcpy() Schwachstelle und an GhostView, das durch eine manipulierte PostScript-Datei aus dem Konzept gebracht wurde.
Ich finde den Autodafé-Ansatz sehr interessant. Einerseits kann man gezielt ein beliebiges Programm nach Sicherheitslücken abklopfen, ohne Zugriff auf den Sourcecode zu benötigen. Andererseits hat man ein Tool in der Hand um die Qualität seiner eigenen Software automatisiert sicherzustellen.
Der Vortrag war auch optisch ein großer Genuss: Martin Vuagnoux hat statt schnöder Folien eine Flash-Präsentation verwendet, noch nie habe ich eine so schön visualisierte Erklärung für Buffer Overflows gesehen 🙂