Instagram Security Tool Pysa – Facebook legt Quellcode offen

Um die eigene Software auf sicherheitsrelevante Fehler und Sicherheitslücken zu überprüfen, verwenden die Entwickler von Instagram das Security Tool Pysa (diesen Namen teilt es sich ungünstigerweise mit einer Ransomware). Den Quellcode für dieses Tool hat Facebook jetzt offengelegt und frei zugänglich gemacht.

Instagram Security: Statische Analyse mit Pysa

Jede Software hat während ihrer Lebensdauer früher oder später mal Fehler. Diese Fehler zu finden und zu beheben ist nicht immer einfach, vor allem dann, wenn man Millionen von Codezeilen zu beachten hat. Dabei hilft eine automatische, statische Codeanalyse. Das bedeutet, dass der Programmcode vor der Kompilierung und Ausführung automatisiert auf Probleme überprüft wird. Die meisten Programme zur statischen Überprüfung suchen nach einer Vielzahl von Fehlern und Bugs, das Instagram Security Tool Pysa allerdings ist spezialisiert auf Sicherheitsprobleme. Sicherheitsrelevante Fehler im Programmcode sind besonders kritisch, da genau dadurch Sicherheitslücken entstehen und ausgenutzt werden können. Zu diesem Zweck überprüft Pysa gezielt, welche Daten, wie durch das Programm verarbeitet werden und soll dann erkennen, welche Datenflüsse ein Sicherheitsrisiko bergen. Ein Beispiel, bei dem ein Datenfluss gefährlich werden kann, ist die „Remote Code Execution“ oder RCE. Dieser Angriff wird möglich, wenn es dem Angreifer gelingt, Befehlsabfolgen in einen Programmablauf einzuschleusen. Wenn das so infiltrierte Programm mit erhöhten Privilegien läuft, kann das schwerwiegende Folgen haben!




Pysa kommt mit Pyre
Das Instagram Security Tool Pysa gibt es im Paket mit Pyre (Quelle: Screenshot https://github.com/facebook/pyre-check)

Kein ganz neuer Ansatz

Schon letztes Jahr hat Facebook das statische Analysetool Zoncolan vorgestellt, allerdings ist dieses nicht Open Source. Außerdem ist Zoncolan für die Analyse von Programmen ausgelegt, die in „Hack“ geschrieben wurden, einer weitestgehend Facebook-internen Sprache. Instagram aber ist nicht in Hack geschrieben, sondern in Python, deshalb ist das Instagram Security Tool Pysa für die Analyse von Python Programmen gemacht, was deutlich relevanter für den Rest der Welt ist. Python ist eine sehr beliebte und viel genutzte Programmiersprache, deshalb dürfte die Offenlegung des Pysa-Quellcodes für viele Entwickler, vor allem von sicherheitsrelevanter Software, interessant sein. Python Tools zum Herunterladen von Instagram Posts haben wir in der Vergangenheit auch schon betrachtet.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast