O novo kit de ferramentas de micropatching da Draper foi projetado para reduzir de meses para dias o tempo de teste, correção, recertificação e implantação de patches no código de software legado. Crédito: Shutterstock.
“As tecnologias desenvolvidas pela Draper e pela Carnegie Mellon University visam permitir que os profissionais corrijam com rapidez e precisão os binários herdados nos sistemas de software implantados dos quais suas empresas dependem”, diz Philip Zucker, Ph.D., cientista da computação sênior e programador da Draper.
CAMBRIDGE, Massachusetts (PRWEB)
17 de agosto de 2022
Governo, bancos, companhias aéreas, militares – quase todos os principais setores estão lidando com TI antiga, o que torna a resolução de problemas difícil e a correção de vulnerabilidades cara. Esses sistemas antigos são propensos a bugs que podem causar interrupções e desperdiçar tempo de engenharia para corrigi-los. Cada vez mais, o culpado é o software legado, que é o software que não é mais suportado pelo fornecedor ou o software cujo código-fonte original não está disponível.
Draper e Universidade Carnegie Mellon (CMU) estão enfrentando esse desafio desenvolvendo uma capacidade de corrigir rapidamente o software legado em sua forma binária original. Com o novo recurso, as equipes de TI poderão analisar, modificar e corrigir binários legados e produzir micropatches direcionados garantidos para falhas de segurança conhecidas.
A nova capacidade foi projetada para enfrentar vários desafios. A correção de vulnerabilidades de segurança em software legado, por exemplo, requer correção no nível binário. A edição binária manual, no entanto, é lenta e propensa a erros. Desafios adicionais surgem quando o código binário corrigido e recompilado altera o desempenho de um sistema de TI, tornando a recertificação difícil e lenta.
Essas limitações e desafios podem resultar em softwares de missão crítica sem patches por meses a anos, aumentando a oportunidade para invasores e o risco de o software se tornar incompatível. Por esses motivos, é crucial ter uma solução de gerenciamento de patches que possa garantir que os aspectos críticos de um sistema de TI permaneçam atualizados, diz Michael Crystal, gerente de programa da Draper.
“Hoje, a correção de software é complicada, e o processo de recertificação é em grande parte manual e depende de avaliadores humanos vasculhando pilhas de documentação, ou evidências de garantia, para determinar se o software atende a determinados critérios de certificação”, disse Crystal. “Queremos eliminar as suposições do processo e permitir que a certificação avance com confiança.”
Financiado sob Micropatch garantido da DARPA programa, o conjunto de ferramentas, chamado VIBES, que significa Verified, Incremental Binary Editing with Synthesis, usa técnicas de síntese de programa e programação de restrição para compilar um patch de nível de fonte e inseri-lo em um programa binário preexistente. VIBES usa verificação formal para provar que apenas a mudança pretendida é feita e fornece evidências de comportamento correto para processos subsequentes de recertificação ou acreditação. O VIBES foi desenvolvido durante uma série de desafios organizados pelo programa DARPA AMP em 2021 e 2022.
Os micropatches alteram o menor número possível de bytes para atingir seu objetivo, o que minimiza os possíveis efeitos colaterais e deve permitir provas de que os patches preservarão a funcionalidade de linha de base original do sistema. Com essas provas, o tempo para testar, recertificar e implantar o sistema corrigido deve ser reduzido de meses para dias.
“As tecnologias desenvolvidas pela Draper e pela Carnegie Mellon University visam permitir que os profissionais corrijam com rapidez e precisão os binários herdados nos sistemas de software implantados dos quais suas empresas dependem”, diz Philip Zucker, Ph.D., cientista da computação sênior e programador da Draper. “Você pode testar, empacotar, preparar e implantar patches automaticamente, economizando tempo e dinheiro em processos manuais limitados.”
“Estamos entusiasmados que Draper está construindo em cima da CMU Plataforma de Análise Binária, um framework que desenvolvemos e open source para permitir a análise de programas na representação de código de máquina”, diz David Brumley, professor do departamento de Engenharia Elétrica e de Computação e um membro central da CMU's CyLab.
A aplicação de patches é difícil, pois as atualizações manuais podem levar muito tempo. Um estudo do Instituto Ponemon descobriu que mais da metade de todas as empresas (55%) dizem que, quando se trata de corrigir, elas gastam mais tempo navegando manualmente pelos vários processos envolvidos do que realmente corrigindo vulnerabilidades. A maioria das empresas (61%) se sente em desvantagem por depender de processos manuais para aplicar patches de software.
VIBES foi lançado como software livre em fevereiro. O software de código aberto da CMU é chamado Binary Analysis Platform, lançado originalmente em 2015.
Aprovado para publicação, distribuição ilimitada.
Compartilhe artigo em mídias sociais ou e-mail:
