Con l’avvento della cybersecurity anche il mondo del testing ha dovuto evolversi, in particolare si sono affermate diverse nuove tecniche di verifica:
- Fuzz testing
- Penetration testing
- Functional security testing
- Security validation
In questo post ci soffermeremo ad analizzare i Fuzz Test.
Il fuzz testing o anche chiamato fuzzing è un metodo sviluppato per testare i software in modo sistematico alla ricerca di vulnerabilità.
In ambito automotive i fuzz test mirano a verificare la robustezza e l’affidabilità dei protocolli di comunicazione (Can, Lin, Ethernet).
Il fuzzing viene spesso eseguito utilizzando il metodo “grey box” in cui i tester hanno una certa conoscenza dei protocolli e delle strutture dati gestite dal software, come le specifiche dei messaggi.
Usando un tool di validazione si possono progettare dei test automatici tramite degli script. La strategia prevede la trasmissione di messaggi casuali e modificati nel formato, nei dati e nella periodicità in modo da recapitare input atipici e invalidi alla ECU.
Di seguito si possono vedere le varie fasi del processo:
1. Generazione dell’input
2. Iniezione dell’input
3. Monitoraggio del comportamento
4. Registrazione dei risultati
I bug rilevati nel fuzzing sono talvolta gravi come per esempio arresti anomali, perdita di memoria, eccezioni non gestite, rallentamenti delle prestazioni.
In conclusione, il fuzz testing offre un’automazione di vasta portata che può rivelare difetti critici del sistema che rimarrebbero nascosti ai controlli di sicurezza manuali e del software. Il test fuzz fornisce anche un quadro generale della robustezza del software, ciò aiuta a identificare le vulnerabilità della sicurezza e a correggerle prima che possano essere utilizzate per attacchi hacker. Quando il test fuzz viene eseguito nelle prime fasi dello sviluppo di una ECU, le lacune in termini di sicurezza possono essere rivelate precocemente portando a benefici in termini di costi e di tempo.
Scopri di più sui nostri progetti di validazione >>
