Nieuws

Microsoft lanceert beveiligingstool voor applicaties

woensdag 19 januari 2011, 13:11 door Redactie, 8 reacties

Microsoft heeft een nieuwe beveiligingstool gelanceerd waarmee het mogelijk is om het aanvalsoppervlak van applicaties te testen. De Attack Surface Analyzer is bedoeld voor ontwikkelaars en IT-professionals en heeft als doel het ontwikkelen van veiligere applicaties.

Microsoft zou zelf al jaren het valideren van het aanvalsoppervlak verplicht stellen voordat er software naar klanten gaat. "Het bepalen van het aanvalsoppervlak van een applicatie of softwareplatform kan op het eerste gezicht een intimiderend proces zijn", aldus Microsoft.

Aanvalsoppervlak
De gratis beveiligingstool bevindt zich nog in de bètafase en maakt diffs om de veranderingen binnen een applicatie in kaart te brengen. De tool analyseert een systeem niet op bekende lekken of aan de hand van signatures, maar kijkt naar soorten kwetsbaarheden als applicaties op Windows worden geïnstalleerd. Het gaat dan om nieuw toegevoegde bestanden, registersleutels, ActiveX Controls, listening ports, access control lists (ACL) en andere parameters die het aanvalsoppervlak kan beïnvloeden.

Met dank aan Tim voor de tip

"Stuxnet geen Amerikaans-Israëlische coproductie"

Chinese malware laat cloud-virusscanners zinken

Reacties (8)

19-01-2011, 14:08 door Anoniem

Misschien kan dit programma ook later als stukje beveiligingssoftware werken binnen Windows.
Microsoft zou dit als extra gratis sofware kunnen aanbieden op de eigen site om als je het wil hebben te kunnen downloaden.

19-01-2011, 14:12 door Skizmo

Microsoft zou zelf al jaren het valideren van het aanvalsoppervlak verplicht stellen voordat er software naar klanten gaat.

Als dat waar is, waarom worden er dan zoveel lekken in hun software gevonden ?

19-01-2011, 15:19 door 2tirds

nou microsoft probeerd eigenlijk vanalles om maar te verdoezelen dat ze eigenlijk gewoon schijt hebben aan de privacy van vele gebruikers maar dat proberen doen ze dan ook goed.

er is duidelijk behoefte voor dit soort brute force testers sinds ze al zeker 8 jaar meer en meer voorkomen onder kwaadwillende geautomiseerde systemen. had er eigenlijk allang moeten zijn. wat dat betreft zijn ze wel weer flitsend bezig.

en lekker zullen er gevonden blijven worden zolang het binaire systeem de basis blijft. onoverkomelijk. dat het bij microsoft veel gebeurd komt door closed source (wekt de nieuwsgierigheid, jalouzie enzo vanwege geld) maar ook omdat het os zoveel nog gebruikt wordt. is dus een van de interessantste voor kwaadwillende en andere ogen.

19-01-2011, 15:53 door Anoniem

Door Anoniem: Microsoft zou dit als extra gratis sofware kunnen aanbieden op de eigen site om als je het wil hebben te kunnen downloaden.

ehhh...:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=1283b765-f57d-4ebb-8f0a-c49c746b44b9&displaylang=en&pf=true

Door 2tirds: er is duidelijk behoefte voor dit soort brute force testers sinds ze al zeker 8 jaar meer en meer voorkomen onder kwaadwillende geautomiseerde systemen. had er eigenlijk allang moeten zijn. wat dat betreft zijn ze wel weer flitsend bezig.

ehhh...:
Uit het stuk:
De tool analyseert een systeem niet op bekende lekken of aan de hand van signatures, maar kijkt naar soorten kwetsbaarheden als applicaties op Windows worden geïnstalleerd. Het gaat dan om nieuw toegevoegde bestanden, registersleutels, ActiveX Controls, listening ports, access control lists (ACL) en andere parameters die het aanvalsoppervlak kan beïnvloeden.

heeft dus niks te maken met brute force testers / fuzzers

19-01-2011, 17:07 door Anoniem

ja nou je gaat toch bruteforce een afwerklijstje af? ik doe niet zo aan die wirwar van domme termen van fuzzers en weet ik het wat voor trilfunctie producerende namen. dit zijn bruteforce voorbeelden van geautomatiseerd checken op bekende patronen ik heb dat stukje software trouwens gezien van dichtbij en daarbij vergeleken is jack de ripper aardig elite. het is allemaal nog heel basaal dus die bruteforce zooi die ik dan tegenwoordig superficial dynamic exploitation list fuzzer moet noemen ofzo.

20-01-2011, 10:05 door Mysterio

ja nou je gaat toch bruteforce een afwerklijstje af?

Het klinkt smerig als het het zo zegt. Sorry ;-)

Leuk tooltje toch? En gratis. Weinig rede tot gezemel dus.

20-01-2011, 12:16 door Anoniem

Helaas 64-bits (of heb ik iets gemist?)

21-01-2011, 14:49 door 2tirds

Mysterio: sorry ik bedoelde het niet smerig. ben zelf als persoon wellicht ook TE laks met die termen; zou het daarom nog niet de basis van het hele verhaal zijn? of ben ik te brutaal als ik denk met mijn kennis toch ook wat te kunnen melden op mijn eigen onbehouwen maar wel goedbedoelde manier?

Ik ben per definitie met je eens dat ik een wandelende ramp qua grammatica en terminologie ben. Eerlijk is eerlijk *schaamt, wordt rood en ja sorry hoor :S

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer