Microsoft Project Springfield. (Bilde: Kurt Lekanger, digi.no)

Microsofts Project Springfield skal gjøre det enklere å finne sårbarheter i egen og andres programvare

Tar i bruk «fuzzing».

Microsoft avduket i går en tidlig utgave av en nettskybasert tjeneste som i alle fall bedrifter kan bruke til å avsløre sårbarheter i programvare de selv har utviklet eller som tilbys av andre. 

Tjenesten kalles foreløpig for Project Springfield. Den tar i bruk en teknikk som kalles for fuzzing, som i stor grad handler om å tilby programvare relativt vilkårlige og uventede inndata, for deretter å se om disse dataene fører til at programvaren krasjer. En slik krasj kan være signal om at det finnes en sårbarhet til stede. 

I tjenesten fra Microsoft vil brukerne kunne laste opp ordinær programvare til Microsofts nettsky. Der vil den bli kjørt i en virtuell maskin.

Les også: Slik hacker du med «fuzzing»

Kunstig intelligens 

Microsoft opplyser at selskapet har tatt i bruk kunstig intelligens for å gjøre fuzztestingen mer effektiv. I stedet for å velge helt vilkårlige inndata, stilles det en serie med «hva om»-spørsmål for bedre å kunne avgjøre hva som kan føre til en krasj. 

Etter hver testrunde blir dataene samlet for å sikte seg inn mot de områdene som er mest kritiske. Microsoft mener at denne teknikken gjør det mer sannsynlig å finne sårbarheter som andre fuzzingverktøy kanskje overser. Den er basert på verktøy, SAGE, som Microsoft har brukt internt siden midten av forrige tiår, blant annet for å teste Windows 7 før lanseringen.

Verktøyet skal være spesielt egnet for testing av programvare som åpner for inndata i form av dokumenter, bilder, video og andre filer eller datastrømmer som ikke alltid er helt til å stole på.

(Artikkelen fortsetter under)

Slik fungerer Project Springfield.
Slik fungerer Project Springfield. Foto: Microsoft

Project Springfield består av SAGE, men også andre verktøy for fuzztesting. For å gjøre det egnet for brukere uten betydelig sikkerhetsbakgrunn, er det også lagt på et dashbord i fronten som skal være enkelt å bruke, men er likevel kraftig nok til at Microsoft selv har tatt det i bruk internt.

Leste du denne? Christian (25) får betalt for å bryte seg inn

Også for programvarekunder

Selv om programvareutviklere nok er og bør være de første til å benytte seg av verktøy som dette, går det tydelig fram av informasjonen Microsoft tilbyr at også selskaper som vurderer å kjøpe programvare, kan være typiske brukere.

Det er selvfølgelig alltid en fare for at ondsinnede benytter slike verktøy for å avdekke sårbarheter som utviklerne ikke kjenner til. Men ifølge Peter Lee, Microsoft Research-direktøren med ansvar for nye opplevelser og teknologier, har de ondsinnede allerede de verktøyene, ekspertisen og den økonomiske motivasjonen til å utnytte sårbarheter før utvikler kan finne dem. 

Med Project Springfield forsøker Microsoft å gi utviklere og brukere bedre muligheter til å oppdage og utbedre sårbarheter i programvare, uten at de må være eksperter på sikkerhet.

I første omgang støtter Project Springfield bare Windows-programvare, men støtte for Linux-programmer skal også komme. Microsoft ber om innspill til eventuell støtte for ytterligere plattformer.

Foreløpig må man søke om å få bruke Project Springfield. Med utgangspunkt hva det spørres om i søknadsskjemaet, er det nok primært utviklere Microsoft kommer til å gi tilgang nå.

En krasj kan være gull verdt for spioner: Snoker i dine feilmeldinger »

Kommentarer (0)

Kommentarer (0)
Til toppen