Bråkat: Det roliga med crash test software

0
16

Det har varit runt ett tag med de stora företagen, men det har snabbt blivit ett populärt sätt att jämföra säkerheten hos olika program.

Crash-test software är en snabbt växande sätt att se vilka program som håller upp den bästa, enligt högtalarna på en Infosec presskonferens i London.

Redan som används av hackare för lite tid, destruktiv testning av programvara, även kallad “bråkat” eller “fuzz testning” – är en penetration teknik skiljer sig från traditionella säkerhetsåtgärder, som ser till redan kända attacker och sårbarheter.

Istället för att vänta på koden för att misslyckas, fuzz testning aktivt försöker bryta det, skicka systematiskt brutit ingångar till program för att få det att krascha. Sådana bråkat sägs att bryta 80 procent av testade program, upptäcka okända brister.

Ari Takenen, teknisk chef för Codenomicon jämfört det med krocktester i bilindustrin, som hjälper till att göra produktsäkerhet jämförelser mellan fordon mer meningsfullt. I DET samma jämförelser kunde göras mellan programvaror.

Han sade: “Vem som helst kan göra det. Det kräver inte kärnan tillgång till källkoden och det är ett riktigt bra sätt för att jämföra säkerheten för olika produkter. Detta hjälper köpare att göra riktigt bra val, precis som bilindustrin.”

Takenen sagt alla stora mjukvaruföretag har använt bråkat. HP och IBM har använt “web bråkat” produkter, sade han. Även om de inte nödvändigtvis använda det namnet för tekniken, det är där testare leta efter sårbarheter på web-portaler hjälp crash-test-system.

Takenen sa att även Google har fuzzad: “De har dedikerade människor som agerar som fuzzers, och du ser det på många andra företag.”

2007 släppte Google ett open-source verktyg som kallas “Rackarn”, som finner flera sårbarheter i internet-kritiska produkter.

“Jag tror att de använt sina interna verktyg främst i att utveckla kommunikationsutrustning – mestadels Android, liksom alla de kritiska kommunikation som e-post,” Takenen sagt.

Han sade att bråkat var en snabbt växande marknad, med dess tillämpningar som används inom olika branscher, från telecom tjänsteleverantörer att kritiska branscher som finans, myndigheter och ledande online-handel. Bråkat produkter är byggda och licensierad programvara produkter eller utrustning, eller erbjuds som anal provning och certifiering.

Takenen också sagt att branschen användare från ett antal kontroll-system för användarna och tillverkarna var att undersöka möjligheten av att skapa en organisation kring bråkat. Detta skulle skapa en uppsättning specifikationer och processer för testning och certifiering av critical control systems produkter.