Google lança ClusterFuzzLite

Você percebeu que estamos levando a segurança da codificação mais a sério atualmente? E temos um motivo para isso. Ataques às cadeias de suprimentos de software, como os do Kaseya’s VSA , SolarWinds e PHP, estão se tornando comuns. Quando até mesmo o National Institute of Standards and Technology(NIST) e a Casa Branca emitem uma Ordem Executiva sobre como melhorar a segurança cibernética da nação, exigindo mais testes de código, você sabe que a segurança cibernética está finalmente sendo levada a sério. 

Para ajudar a torná-la mais fácil, o Google lançou um novo projeto chamado ClusterFuzzLite voltado a ajudar a identificar vulnerabilidades em software com mais rapidez. Segundo a empresa, com apenas algumas linhas de código, é possível integrar o ClusterFuzzLite no fluxo de trabalho dos desenvolvedores e detectar bugs, incrementando assim a segurança da cadeia de produção de software.  “A nova ferramenta pode ser executada “como parte de fluxos de trabalho de CI / CD para encontrar vulnerabilidades mais rápido do que nunca antes”, escreveram os engenheiros de software Jonathan Metzman e Oliver Chang, juntamente com o líder de produtos de CI / CD do Google, Michael Winser, em um post no blog de Segurança do Google.

O ClusterFuzzLite é uma versão mais leve do projeto ClusterFuzz, anunciado em 2016. Ambos se baseiam na técnica de testes fuzz, também conhecida por fuzzing e  desenvolvida na Universidade de Wisconsin Madison em 1989, que busca encontrar bugs de implementação de maneira automatizada usando dados malformados ou aleatórios. 

Os testes fuzz são indicados para software que recebe entradas de dados não confiáveis (segurança), para verificação da equivalência de dois algoritmos complexos (correção) e para     verificação de APIs em alto volume que recebem dados complexos (estabilidade). Não se trata de um substituto para outros tipos de testes e deve ser aplicado continuamente.  

O ClusterFuzz é uma infraestrutura fuzz de código aberto capaz de executar testes continuamente. Projetos de código aberto de alto impacto podem ser integrados ao serviço OSS-Fuzz para ser submetido gratuitamente a testes fuzz. Além do ambiente ClusterFuzz, o OSS-Fuzz combina vários mecanismos de fuzz com sanitizadores. Desde seu anúncio em 2016 até junho de 2021, mais de 500 projetos críticos de código aberto foram integrados ao OSS-Fuzz, resultando em mais de 6.500 vulnerabilidades e 21.000 bugs funcionais corrigidos. 

Já o ClusterFuzzLite, irmão mais novo do ClusterFuzz recém-anunciado, também está mostrando resultados positivos  com grandes projetos, segundo o Google. “Quando revisores humanos aprovam o código e analisadores de código não conseguem detectar mais problemas, o fuzzing é o que leva o código a um novo nível de maturidade e robustez. OSS-Fuzz e ClusterFuzzLite nos ajudam a manter o cURL como um projeto de qualidade, 24 horas por dia, todos os dias e diante de todos os compromissos”, destaca Daniel Stenberg, autor do projeto cURL, que trabalha com uma ferramenta de linha de comando e biblioteca para transferir dados com sintaxe URL. 

O Google explica que o ClusterFuzzLite oferece muitos dos recursos do ClusterFuzz, como fuzzing contínuo, compatibilidade com sanitizadores, geração de relatórios de cobertura. No entanto, o mais importante no ClusterFuzzLite, na visão do Google,  é ser fácil de configurar e funcionar com projetos de código fechado, tornando-o uma opção interessante para qualquer desenvolvedor que queira testar software. 

Ataques do tipo supply chain 

O objetivo maior do Google, com a oferta dessas ferramentas, é contribuir para a redução dos ataques do tipo supply chain que vem aterrorizando vários setores recentemente. Essa categoria de invasão ataca um elo vulnerável da cadeia, por exemplo uma empresa que fornece software ou presta serviços para muitas outras, e assim abre caminho para fazer milhares de novos alvos.  

Dentre os vários incidentes desse tipo no último ano,  um dos maiores e com consequências mais devastadoras foi o que envolveu a empresa de TI SolarWinds, que teve comprometido seu sistema de atualizações enviados para milhares de clientes, entre eles grandes companhias do setor privado e agências governamentais dos Estados Unidos. Outro grande ataque explorou vulnerabilidade no software da Kaseya, afetando clientes em todo o mundo. 

Em particular, ambientes de desenvolvimento podem ser excelentes alvos para cibercriminosos que usam ataques do tipo supply chain como método. Diante desses grandes incidentes de cibersegurança, o NCSC (National Cyber Security Center) do Reino Unido, por exemplo, emitiu um alerta, destacando que ataques ao pipeline de desenvolvimento de software podem gerar impactos de longo alcance. 

Por isso, afirma o Google, ferramentas como o ClusterFuzzLite devem ser usadas como mais uma etapa essencial que os desenvolvedores devem aplicar continuamente em todos os projetos de software. Dessa forma, ao encontrar e prevenir bugs com mais eficiência, será possível construir um ecossistema de software mais seguro.