Детальная информация

Тема выпускной квалификационной работы: «Автоматизированный поиск уязвимостей в программном обеспечении архитектуры ARM с использованием динамического символьного выполнения». Данная работа посвящена оценке эффективности автоматизированного поиска уязвимостей в программном обеспечении архитектуры ARM с использованием динамического символьного исполнения. Задачи, которые решались в ходе исследования: 1. Ознакомление с принципами работы и особенностями функционирования устройств Интернета вещей. 2. Исследование инцидентов, связанных с нарушением безопасности устройств IoT, определение наиболее вероятных векторов атак и актуальных типов уязвимостей. 3. Исследование недостатков символьного выполнения и разработка методов их устранения. 4. Реализация средства для поиска бинарных уязвимостей с учётом предложенных методов повышения эффективности символьного выполнения. 5. Оценка эффективности разработанного средства. В результате были рассмотрены различные методы поиска уязвимостей в устройствах интернета вещей и детально исследованы проблемы использования символьного выполнения для обнаружения уязвимостей. Для повышения эффективности был предложен подход, основанный на динамическом символьном выполнении и позволяющий устранить проблемы, возникающие при использовании классического символьного выполнения. В соответствии с предложенным подходом было реализовано средство для поиска уязвимостей, проведена оценка его работоспособности и эффективности.

The subject of the graduate qualification work is “Automated detection of vulnerabilities in ARM architecture software using dynamic symbolic execution”. This work is devoted to evaluating the effectiveness of automated vulnerability detection in ARM architecture software using dynamic symbolic execution. The research set the following goals: 1. Familiarization with the principles of operation and features of the Internet of things devices. 2. Investigation of incidents related to IoT device security violations, identification of the most likely attack vectors and current types of vulnerabilities. 3. Researching drawbacks of symbolic execution and developing methods for their correction. 4. Implementation of vulnerability detection tool, taking into account the proposed methods for improving the efficiency of symbolic execution. 5. Evaluating the effectiveness of the developed tool. The study resulted into analysis of the vulnerability detection methods in internet of things devices. The problems of symbolic execution utilization for vulnerability detection were explored in detail. To increase the efficiency and avoid problems appearing in classical symbolic execution the use of dynamic symbolic execution was suggested. In accordance with the proposed approach, new vulnerability detection tool was implemented. Its efficiency and effectiveness were evaluated.