Použití technik detekce malwaru pro detekci závislostí programů R

Abstract

R je programovací jazyk, který se běžně používá oblastech statistiky. Toto je možné díky velkému množství veřejně dostupných balíčků. Aby se snížil počet nesprávně se chovajících balíčků, provádí se několik kontrol. Ty zahrnují automaticky spouštěné příklady kódu, ale i přesto stále zůstává velký prostor pro nutné ruční kontroly. Nástroj, který by automaticky shromažďoval závislosti libovolného programu napsaného v R, by mohl výrazně snížit nutnou manuální práci. Využití by našel také v souvislosti s vytvářením prostředí, v němž by bylo možné konzistentně reprodukovat výsledek programu. Tato diplomová práce se inspiruje stávajícími řešeními analýzy a sandboxingu potenciálně škodlivých programů. Použitím mechanismu pro odchycení systémových volání z Linuxového jádra jsem vytvořil nástroj, který umí sledovat základní závislosti daného programu. Znalost těchto závislostí lze následně využít pro vytvoření zprávy pro audit nebo vytvoření prostředí, ve kterém lze program reprodukovat. Nástroj nelze přímo použít pro analýzu škodlivých programů. Zvolený přístup kontroly systémových volání je příliš zranitelný útoky, které využívají nejasností v pořadí výkonu jednotlivých operací. Přesto je nástroj užitečný při reprodukci shellových skriptů, spouštění programů R a dalších. V práci se také zmiňuje celý aparát, proč je možné tuto analýzu provést a co vše musí být vyřešeno pro úplné řešení. Pro tyto účely jsou zmíněny i jiné metody sledování operací a závislostí, které by mělo být možné využít pro robustnější řešení.

R is a programming language commonly used in data science. This is possible due to the large number of publicly accessible packages. To reduce the number of misbehaving packages, some checks are made. These include automatically running code examples but still leave a lot of room for manual checking. A tool that would automatically gather the dependencies of any given R program could significantly reduce the manual overhead required. It would also find use in the context of creating an environment in which a program's result could be consistently reproduced. This thesis imitates some of the work done in tools used to analyse or sandbox potentially harmful programs. Using the system call interposition mechanisms in the Linux kernel, I have created a tool which can track dependencies of a given program. These dependencies can then be used to generate a report for auditing or create an environment in which the program execution can be reproduced. Even though the tool cannot be directly used for any security-critical purposes due to the used mechanism and its associated race conditions, the tool is useful in reproducing shell scripts, execution of R programs, and others. The thesis also mentions many of the variables and potential attack vectors a complete solution would have to consider, which are often glossed over. Moreover, other potential manners in which a tracing mechanism such as this could be implemented are explored.