Microsoft avduket i går en tidlig utgave av en nettskybasert tjeneste som i alle fall bedrifter kan bruke til å avsløre sårbarheter i programvare de selv har utviklet eller som tilbys av andre.
Tjenesten kalles foreløpig for Project Springfield. Den tar i bruk en teknikk som kalles for fuzzing, som i stor grad handler om å tilby programvare relativt vilkårlige og uventede inndata, for deretter å se om disse dataene fører til at programvaren krasjer. En slik krasj kan være signal om at det finnes en sårbarhet til stede.
I tjenesten fra Microsoft vil brukerne kunne laste opp ordinær programvare til Microsofts nettsky. Der vil den bli kjørt i en virtuell maskin.
Les også: Slik hacker du med «fuzzing»
Kunstig intelligens
Microsoft opplyser at selskapet har tatt i bruk kunstig intelligens for å gjøre fuzztestingen mer effektiv. I stedet for å velge helt vilkårlige inndata, stilles det en serie med «hva om»-spørsmål for bedre å kunne avgjøre hva som kan føre til en krasj.
Etter hver testrunde blir dataene samlet for å sikte seg inn mot de områdene som er mest kritiske. Microsoft mener at denne teknikken gjør det mer sannsynlig å finne sårbarheter som andre fuzzingverktøy kanskje overser. Den er basert på verktøy, SAGE, som Microsoft har brukt internt siden midten av forrige tiår, blant annet for å teste Windows 7 før lanseringen.
Verktøyet skal være spesielt egnet for testing av programvare som åpner for inndata i form av dokumenter, bilder, video og andre filer eller datastrømmer som ikke alltid er helt til å stole på.
(Artikkelen fortsetter under)
Project Springfield består av SAGE, men også andre verktøy for fuzztesting. For å gjøre det egnet for brukere uten betydelig sikkerhetsbakgrunn, er det også lagt på et dashbord i fronten som skal være enkelt å bruke, men er likevel kraftig nok til at Microsoft selv har tatt det i bruk internt.
Leste du denne? Christian (25) får betalt for å bryte seg inn
Også for programvarekunder
Selv om programvareutviklere nok er og bør være de første til å benytte seg av verktøy som dette, går det tydelig fram av informasjonen Microsoft tilbyr at også selskaper som vurderer å kjøpe programvare, kan være typiske brukere.
Det er selvfølgelig alltid en fare for at ondsinnede benytter slike verktøy for å avdekke sårbarheter som utviklerne ikke kjenner til. Men ifølge Peter Lee, Microsoft Research-direktøren med ansvar for nye opplevelser og teknologier, har de ondsinnede allerede de verktøyene, ekspertisen og den økonomiske motivasjonen til å utnytte sårbarheter før utvikler kan finne dem.
Med Project Springfield forsøker Microsoft å gi utviklere og brukere bedre muligheter til å oppdage og utbedre sårbarheter i programvare, uten at de må være eksperter på sikkerhet.
I første omgang støtter Project Springfield bare Windows-programvare, men støtte for Linux-programmer skal også komme. Microsoft ber om innspill til eventuell støtte for ytterligere plattformer.
Foreløpig må man søke om å få bruke Project Springfield. Med utgangspunkt hva det spørres om i søknadsskjemaet, er det nok primært utviklere Microsoft kommer til å gi tilgang nå.
En krasj kan være gull verdt for spioner: Snoker i dine feilmeldinger »
