퍼저 도구들을 평가하고 분석 보고서까지 생성하는 벤치마킹 도구
어려웠던 퍼징 실험의 한계를 극복하기 위한 프레임워크...향상 위한 참여 유도
[보안뉴스 문가용 기자] 구글이 퍼즈벤치(FuzzBench)라는 도구를 무료로 풀었다. 퍼즈벤치는 퍼저(fuzzer) 도구들을 평가하는 벤치마킹 도구다. 퍼저는 퍼징(fuzzing)이라는 취약점 발굴 기법을 처리해주는 도구들로, 구글은 퍼징을 대단히 중요한 취약점 검색 기법으로 보고 있고, 퍼징을 조금 더 보편화시키기 위해 퍼즈벤치를 무료로 푼 것으로 보인다.
[이미지 = iclickart]
구글은 새로운 서비스를 통해 퍼징으로 취약점을 연구하는 보안 전문가들은 보다 객관적으로 도구를 평가하고 선택할 수 있게 될 것으로 보인다. 구글에 의하면 “24시간 동안 10번의 퍼징 테스트를 위해 10개의 퍼저와 20개의 벤치마크 실험이 필요하다고 했을 때, 2000개의 CPU를 사용해야 한다”며 이는 “퍼징 테스트를 작은 규모로, 제한된 횟수만큼만 하도록 강제하는 요건”이라고 설명했다.
그것이 현재 퍼징 실험의 어쩔 수 없는 한계인데, 구글은 퍼즈벤치로 이를 해결하고자 한다고 발표하기도 했다. “퍼즈벤치는 퍼저들과 실제 프로젝트의 벤치마크를 통합하는 API를 제공하기도 합니다. 그래프와 각종 통계 결과를 제공해주는 자동 리포팅 라이브러리도 포함하고 있고요. 퍼즈벤치는 퍼징 실험을 위한 프레임워크라고 볼 수도 있습니다.”
퍼즈벤치를 사용한다면 연구자들은 퍼저와 간단히 통합함으로써 24시간 동안 자동으로 실험을 진행시킬 수 있게 된다. 이 때 다량의 실험은 물론 실제 벤치마크를 사용할 수도 있게 된다. 그런 후에는 퍼즈벤치가 각종 퍼저들 및 유사 도구들의 성능을 비교한 보고서를 생성하고, 각 도구들의 장점과 단점도 파악해서 알려준다.
구글에 의하면 AFL, 리브퍼저(LibFuzzer), 홍퍼즈(Honggfuzz)와 같은 기존 퍼징 도구들과 QSYM과 에클립서(Eclipser) 등과 같은 학술용 프로젝트들이 이미 퍼즈벤치에 통합되어 있는 상태라고 한다. 현재 상태로 “250개가 넘는 OSS-Fuzz 프로젝트를 거의 전부 지원할 수 있다”고 한다.
퍼즈벤치가 사용자에게 생성해 주는 보고서의 경우는 통계 실험과 원시 데이터까지도 포함하고 있어 분석가들의 독자적인 실험과 분석이 가능하다.
구글은 여러 전문가들이 퍼즈벤치를 다운로드 받아 향상시키기를 기대하고 있다고도 말했다. “퍼즈벤치는 이제 오픈소스입니다. 되도록 많은 퍼즈 전문가들이 자신의 도구와 기술력을 가지고 퍼즈벤치 향상에 참여한다면, 지금보다 더 발전할 가능성이 높습니다. 커뮤니티의 힘을 통해 퍼즈벤치가 더 유용한 프레임워크로 성장하기를 바랍니다.”
퍼즈벤치는 여기(https://github.com/google/fuzzbench)서 열람 및 다운로드가 가능하고, 퍼즈벤치에 대한 구글의 설명은 여기(https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html)서 열람이 가능하다(영문).
3줄 요약
1. 퍼즈 실험, 현재로서는 제대로 된 프레임워크 없고 기술적 한계 분명함.
2. 구글, 퍼즈벤치라는 평가 도구 및 프레임워크를 오픈소스로 개방.
3. 퍼즈 실험의 한계를 극복하기 위한 것으로, 커뮤니티의 적극적인 참여도 기대되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
어려웠던 퍼징 실험의 한계를 극복하기 위한 프레임워크...향상 위한 참여 유도
[보안뉴스 문가용 기자] 구글이 퍼즈벤치(FuzzBench)라는 도구를 무료로 풀었다. 퍼즈벤치는 퍼저(fuzzer) 도구들을 평가하는 벤치마킹 도구다. 퍼저는 퍼징(fuzzing)이라는 취약점 발굴 기법을 처리해주는 도구들로, 구글은 퍼징을 대단히 중요한 취약점 검색 기법으로 보고 있고, 퍼징을 조금 더 보편화시키기 위해 퍼즈벤치를 무료로 푼 것으로 보인다.
[이미지 = iclickart]
구글은 새로운 서비스를 통해 퍼징으로 취약점을 연구하는 보안 전문가들은 보다 객관적으로 도구를 평가하고 선택할 수 있게 될 것으로 보인다. 구글에 의하면 “24시간 동안 10번의 퍼징 테스트를 위해 10개의 퍼저와 20개의 벤치마크 실험이 필요하다고 했을 때, 2000개의 CPU를 사용해야 한다”며 이는 “퍼징 테스트를 작은 규모로, 제한된 횟수만큼만 하도록 강제하는 요건”이라고 설명했다.
그것이 현재 퍼징 실험의 어쩔 수 없는 한계인데, 구글은 퍼즈벤치로 이를 해결하고자 한다고 발표하기도 했다. “퍼즈벤치는 퍼저들과 실제 프로젝트의 벤치마크를 통합하는 API를 제공하기도 합니다. 그래프와 각종 통계 결과를 제공해주는 자동 리포팅 라이브러리도 포함하고 있고요. 퍼즈벤치는 퍼징 실험을 위한 프레임워크라고 볼 수도 있습니다.”
퍼즈벤치를 사용한다면 연구자들은 퍼저와 간단히 통합함으로써 24시간 동안 자동으로 실험을 진행시킬 수 있게 된다. 이 때 다량의 실험은 물론 실제 벤치마크를 사용할 수도 있게 된다. 그런 후에는 퍼즈벤치가 각종 퍼저들 및 유사 도구들의 성능을 비교한 보고서를 생성하고, 각 도구들의 장점과 단점도 파악해서 알려준다.
구글에 의하면 AFL, 리브퍼저(LibFuzzer), 홍퍼즈(Honggfuzz)와 같은 기존 퍼징 도구들과 QSYM과 에클립서(Eclipser) 등과 같은 학술용 프로젝트들이 이미 퍼즈벤치에 통합되어 있는 상태라고 한다. 현재 상태로 “250개가 넘는 OSS-Fuzz 프로젝트를 거의 전부 지원할 수 있다”고 한다.
퍼즈벤치가 사용자에게 생성해 주는 보고서의 경우는 통계 실험과 원시 데이터까지도 포함하고 있어 분석가들의 독자적인 실험과 분석이 가능하다.
구글은 여러 전문가들이 퍼즈벤치를 다운로드 받아 향상시키기를 기대하고 있다고도 말했다. “퍼즈벤치는 이제 오픈소스입니다. 되도록 많은 퍼즈 전문가들이 자신의 도구와 기술력을 가지고 퍼즈벤치 향상에 참여한다면, 지금보다 더 발전할 가능성이 높습니다. 커뮤니티의 힘을 통해 퍼즈벤치가 더 유용한 프레임워크로 성장하기를 바랍니다.”
퍼즈벤치는 여기(https://github.com/google/fuzzbench)서 열람 및 다운로드가 가능하고, 퍼즈벤치에 대한 구글의 설명은 여기(https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html)서 열람이 가능하다(영문).
3줄 요약
1. 퍼즈 실험, 현재로서는 제대로 된 프레임워크 없고 기술적 한계 분명함.
2. 구글, 퍼즈벤치라는 평가 도구 및 프레임워크를 오픈소스로 개방.
3. 퍼즈 실험의 한계를 극복하기 위한 것으로, 커뮤니티의 적극적인 참여도 기대되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
