Gepubliceerd: Maandag 23 maart 2009
Door te analyseren na een crash, vindt Microsoft beveiligingslekken in softwarecode. De tool is nu als open source beschikbaar.
Toon volledig artikel
Dit is natuurlijk een natte droom voor hackers, lijkt me. Aangezien 'software ontwikkelaars' en 'beveiligings experts' niet de enige zijn die zulke tools handig vinden. Natuurlijk kunnen hackers al van alles, maar nu hebben ze er nog iets bij en weten wat jij weet ( of denkt te weten ). Anders om werkt het helaas niet, best kans dat de ontwikkelaar denkt 'mijn applicatie is veilig' terwijl er ondertussen van alles aan de hand is dat door het speurend oog van dit hulpmiddel niet gezien wordt.
Stappen om tot een écht veilige applicatie te komen:
1. Schrijf het met veiligheid in je achterhoofd - of beter nog - op je voorhoofd geschreven.
2. Documenteer duidelijk en maak het bij voorkeur open source, zodat anderen je kunnen controleren.
3. (Hoort eigenlijk op 0): Kies een programmeertaal die zich wat minder leent voor fouten met ernstige gevolgen. Schrijf je kernel lekker in C, maar je applicatie in Python zeg maar. Of welkeender taal je aanspreekt (c#, java, )
Beetje offtopic - Hoe zit dat met het (gebrek aan) recht in sommige landen om te mogen 'reverse engineeren'?
"Opmerkelijk detail is dat de Crash Analyzer beschikbaar is als open-sourcesoftware onder de Microsoft Public License (Ms-PL). Dit is beleid van het bedrijf voor beveiligingshulpmiddelen in de hoop een gemeenschap rond nuttige tools te bouwen en deze ook verder uit te breiden met de hulp van experts."
Met andere woorden, Microsoft's closed source beveiligings software rammelt aan alle kanten, dus gaan ze nu maar open source. En zodra de software dan goed genoeg is gooien ze er weer een slotje op. Ik verwacht niks anders van die smeerpijpen uit Redmond.
"Volgens het bedrijf is het belangrijk om niet alleen de eigen producten te beschermen, maar ook te werken aan software die voor het Windows-platform worden geschreven. "Het gaat uiteindelijk om het vertrouwen in de industrie", stelt Mike Reavey, directeur van het Microsoft Security Response Center, tegenover Webwereld. "Fouten in programmatuur op ons platform straalt af op ons en uiteindelijk de hele industrie."
Mooi marketinggelul daar, maar wel ontzettend gelogen, zoals gewoonlijk bij MS. De beroemde Red Ring of Death die de XBoxen hebben, en nu weer het hele E74 verhaal, hebben ook niet hun weerslag op de rest van de industrie (PS2, PS3, Wii, DS en PSP).
Het gaat niet om vetrouwen in de industrie, want MS bewijst al jaren letterlijk schijt aan die industrie te hebben. Waar het hier om gaat is vetrouwen in Microsoft, en da's nou precies wat ze steeds meer kwijtraken, consumenten die vertrouwen hebben in MS producten.
MS weet dat de toekomst niet zo rooskleurig meer is, en als ze dan zien dat in het Linux kamp steeds meer licht gaat schijnen, en Apple al volop in het zonnetje staat, begint het angstzweet toch echt bij ze uit te breken.
!exploitable (pronounced “bang exploitable”) is a Windows debugging extension (Windbg) that provides automated crash analysis and security risk assessment. The tool first creates hashes to determine the uniqueness of a crash and then assigns an exploitability rating to the crash: Exploitable, Probably Exploitable, Probably Not Exploitable, or Unknown.
Je kunnen dus alleen de beveiligingslekken vinden die gerelateerd zijn aan het crashen van de software die je kunt reproduceren op een systeem waar op dat moment die software ook actief is.
Dus de beveiligingslekken die de software niet laten crashen (en de trojan gewoon zijn gang laten gaan) daar kun je met deze tool niets mee.
Tsja.
Microsoft claimt toch ook niet dat DE TOOL is om je software 100% waterdicht te maken. Het is een hulpmiddel om crash reports te analyseren. Deze kunnen van gebruikers afkomen tijdens gebruik van de applicatie, of van beta testers of nog beter: uit pen-tests. De tool is een hulpmiddel om makkelijker te analyseren wat de oorzaak is van de crash en of het misschien het gevolg is van onveilige code.
Ik heb gisteren even de source downgeload en bekeken. Tenenkrommend. Mengeling van stijlen, Vreselijk misbruik van de preprocessor (terwijl het toch C++ zou moeten zijn), typedef alles, {} binnen de switch cases. En heel veel ZINLOZE_LANGE_IDENTIFIERS_MET_H
En het semantisch nivo van een vijfjarige.
Volgens mij is dit projekt alleen bedoeld om open source een slechte naam te geven. Gewoon negeren, die hap. Prutswerk.
Levert Microsoft een een bijdrage aan Open Source is het weer niet goed.
Maar goed, jij kan natuurlijk veel beter programmeren, dat is natuurlijk een feit...
Ik vind dit in ieder geval alleen maar toe te juichen.
Precies, en het is open source, dus pakken die source en verbeter het zou ik zo zeggen? Na het enthousiasme waarmee jij dit de grond in boort schat ik zo in dat jij binnen 2 maanden iets hebt geschreven wat véél beter is.
Precies, en het is open source, dus pakken die source en verbeter het zou ik zo zeggen?
Nee, dat doe ik dus lekker niet. Als ik het goed begrepen heb is dit in wezen een add-on op de debugger van Microsoft. En die is dus closed source. Zodra er goede dingen uit dit projekt zouden komen kunnen die natuurlijk gewoon in een van de MS-producten geintegreerd worden. En die kunnen dan weer verkocht worden.
Zodra er goede dingen uit dit projekt zouden komen kunnen die natuurlijk gewoon in een van de MS-producten geintegreerd worden. En die kunnen dan weer verkocht worden.
Ben ik nou gek of begrijp je de essentie van OSS niet? Ook al doen ze het in een product, dan is er een branch in open source die iedereen kan (blijven) gebruiken.
Nee, je bent niet gek. Ik snap de bedoeling van OSS niet. De bedoeling van OSS is dus dat ik een developers-edition van hun OS, compiler en debugger ga aanschaffen om verder geheel belangenloos bij te dragen aan de verdere ontwikkeling van hun produkt. Het projekt zelve heeft nauwelijks betekenis voor gewone stervelingen, het semi-automatisch analyseren van coredumps is alleen van belang voor iemand die heel veel coredumps opgestuurd krijgt. En alleen zinvol als ie beschikking heeft over de source van het onderhavige produkt.
Als je me wilt vergeven: ik ga ze daar niet bij helpen.
Tja, als hacker zou je hiervan gebruik kunnen maken, maar de ontwikkelaars natuurlijk ook. Maar de bedrijven hebben niet altijd het geld en de resources om alles tot het naadje na te gaan.
Wel een goede zet van MS, natuurlijk heeft elk bedrijf dubbele agenda's, maar het gaat erom hoe jij het beste hieruit kan halen.
Ook weer een wijze les voor Apple. Ik krijg steeds met het gevoel (ook te lezen ) dat ze op dit gebied steeds verder achter raken op hun concurrent MS.
http://www.security.nl/artikel/28030/1/Firefox_3%2C_IE8_en_Safari_sneuvelen_tijd
Toegeven, Apple maakt wel hele mooie hardware. Als ik ooit geld teveel heb, dan neem ik zo'n mooie laptop wanneer een volledige 100% driver ondersteuning bestaat (snap het niet, een bredere markt ligt voor Apple het oprapen).
als hacker zou je hiervan gebruik kunnen maken,
Ik denk dat het nut voor een 'hacker' hiervan beperkt is. Een crash kan een spoor opleveren richting een beveiligingsprobleem. Dit tooltje help blijkbaar om uit bulk hoeveelheden crash reports de crashen te selecteren die een grote kans hebben zo'n spoor op te leveren zodat je juist die verder kan bestuderen. Maar als hacker heb je over het algemeen geen toegang tot bulk hoeveelheden crash reports (zeker niet in vergelijking met Microsoft zelf) en een enkele crash kun je veel nauwkeuriger met de hand analyseren.
Het is weer een soort trade-off tussen nauwkeurigheid en de mogelijkheid tot bulk analyse. Microsoft heeft de beschikking over zoveel crash reports dat dit tooltje het verlies aan nauwkeurigheid kan goedmaken met bulk analyse, voor een hacker valt het kwartje de andere kant op.
Ook weer een wijze les voor Apple. Ik krijg steeds met het gevoel (ook te lezen ) dat ze op dit gebied steeds verder achter raken op hun concurrent MS.
Hoezo zouden ze achter liggen?
Dat Apple geen tooltje openbaar maakt wil niet zeggen dat ze geen tooltje hebben. Het lijkt mij zeer waarschijnlijk dat iedereen die in bulk crash reports binnen krijgt daar wel een vorm van automatische rangschikking op loslaat.
Volgens mij heb je bij een crash van gesloten software helemaal niets aan dit tooltje, alleen als je de source kent van het gesloten programma dan zou je de fouten kunnen analyseren.
Dan zit je nog met de fout die windows genereert, als ontwikkelaar kun je de fouten zien in je eigen software maar wat als windows crasht om een reden die je niet kunt achterhalen?
Ook weer een wijze les voor Apple. Ik krijg steeds met het gevoel (ook te lezen ) dat ze op dit gebied steeds verder achter raken op hun concurrent MS.
Apple doet dit al jaren, namelijk met het Darwin Project.
Dus Microsoft loopt hier al jaren achter op Apple.
Betreft de drivers, je kan beter een beperktere keus hebben wat meteen werkt dan te veel keuze en uren moeten kloten en dan nog niet werkt.
En het assortiment is niet mager wat er allemaal voor Apple is.
Ook weer een wijze les voor Apple. Ik krijg steeds met het gevoel (ook te lezen ) dat ze op dit gebied steeds verder achter raken op hun concurrent MS.
Qua ontwikkeltools raakt Apple steeds verder achter op Microsoft? Lijkt mij niet. Bij elke Mac zit XCode er gratis bij, de ontwikkelomgeving voor Mac OS X, en daar komt elk jaar een nieuwe versie van uit. Bij Xcode zit voor het testen oa een GUI versie van DTrace, 'Instruments'. Daarnaast is er een wereld aan OSS ontwikkel- en debugtools voor Mac OS X en komt er continu nieuwe software bij.
Toegeven, Apple maakt wel hele mooie hardware. Als ik ooit geld teveel heb, dan neem ik zo'n mooie laptop wanneer een volledige 100% driver ondersteuning bestaat (snap het niet, een bredere markt ligt voor Apple het oprapen)
.
De MacBooks en MacBook Pro's hebben 100% driver support voor Mac OS X, Windows XP en Windows Vista. Die drivers leverd Apple er namelijk zelf bij. Door middel van Bootcamp kun je zelf kiezen welk systeem je wilt draaien op je Apple laptop.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
