Kaminsky: Herramienta de evaluación de seguridad de MS 'cambia el juego'
Tal como lo sugiere su nombre, !exploitable Crash Anayler (se pronuncia "bang exploitable crash analyzer") peina las fallas que causan que un programa sea tomado, y evalúa la posibilidad que sea explotado por atacantes. Dan Kamisnky, un reconocido experto de seguridad que también proveer de servicios de consultoría a Microsoft, proclamó a este un "cambio de juego" porque provee de una manera confiable a los desarrolladores de revisar miles de fallas para identificar las pocas docenas que suponen el mayor riesgo.
"Microsoft ha tomado años de dificultades con las vulnerabilidades de seguridad y en verdad condensó esa experiencia en una herramienta de repetición que analiza las caídas y dice "Mejor que le heche una mirada a esto" le dijo Kaminsky a The Reg. "Lo que hace tan fascinante a !exploitable es que lleva al menos el primer nivel de este conocimiento y lo empaqueta en algo que puede estar en el proceso de automatización."
Durante los últimos cinco años, Microsoft ha hecho una clara cantidad de progresos reforzando sus sistemas operativos y aplicaciones contra las amenazas de seguridad más comunes. Las protecciones tales como Aleatorización de Esquema del Espacio de Direcciones y las defensas XSS fueron agregadas a las últimas versiones de Windows y de Internet Explorer, respectivamente. Y la compañía se las ha arreglado para exorcizar sus programas de vulnerabilidades peligrosas antes que sean explotadas por los atacantes.
Ahora, Microsoft quiere ayudar a asegurar las aplicaciones de terceros que corren sobre Windows. El año pasado, la compañía publicó una herramienta de modelado de amenazas y otros recursos diseñados para ayudar a que los desarrolladores de software lancen programas de ciclo de vida de desarrollo seguros en sus organizaciones. La idea fue empaquetar la experiencia de seguridad que consiguió Microsoft de modo que sirva como una especie de patrón para otras compañías.
La publicación de !exploitable, que fue anunciada en la conferencia de seguridad de CanSecWest en Vancouver, Columbia Británica, es una continuación de aquel esfuerzo. Es una extención del depurador de Windows que se usa durante las pruebas de fuzzing, cuando los probadores verifican la estabilidad y seguridad de una aplicación enviándoles información inesperada. Se espera que esté disponible pronto este vínculo como un programa de código abierto en CodePlex.
Debido a que la mayoría de las fallas que inducen a caídas no resultan en vulnerabilidades de seguridad, puede haber una cantidad de debate interno cuando sean descubiertas durante el desarrollo. Retrasar la publicación de un producto para arreglar una falla de caída que muy probablemente no es explotable, lleva innecesariamente a elevar los costos de desarrollo. Un resultado aun peor esignorar una falla que más tarde resultara en la explotación de una aplicación.
"Todo es cuestión de la relación de señal-ruido", dijo Kaminsky. "Nadie tiene el tiempo o los recursos para aprender todos los trucos ocultos que tenemos en la industria de la seguridad, y mucho menos introducirlos dentro del proceso."
Autor: Dan Goodin
Fuente: The RegisterUK
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!