Hace un año Microsoft anunció que comenzaría a trabajar en una herramienta para sustituir su software de Detección y Riesgos de Seguridad, para usar en su lugar una herramienta automatizada de código abierto en un esfuerzo por mantenerse a la vanguardia en la industria, mencionan expertos de un curso de análisis de malware.
Finalmente la compañía tecnológica ha anunciado el lanzamiento de Project OneFuzz, un marco de fuzzing para Azure que estará disponible para los desarrolladores de todo el mundo a través de GitHub como una herramienta de código abierto.
La comunidad de la ciberseguridad coincide en que el fuzzing es uno de los métodos más eficaces para la detección y corrección de múltiples fallas de seguridad que podrían ocasionar severos problemas en escenarios reales, no obstante, su implementación representa muchos otros problemas para los investigadores de seguridad, además de que estas pruebas requieren de un equipo de seguridad completo, incrementando considerablemente los costos de este proceso.
Project OneFuzz nació con el propósito de dotar a los analistas de un mecanismo mucho más práctico para la implementación de pruebas de fuzzing que además ofrecieran los mismos resultados que los métodos convencionales. Los procesos que antes requerían de equipos podrán simplificarse a través de:
- La detección de fallas de forma automática
- El seguimiento de cobertura, una vez conectado a través de herramientas como iDNA, Dynamo Rio y Pin, puede integrarse con sancov
- El aprovechamiento de entrada, una vez logrado a través de arneses de I/O personalizados, puede integrarse con el prototipo de función LLVMFuzzerTestOneInput de libfuzzer
Acorde a los especialistas del curso de análisis de malware, estos nuevos enfoques permitirán a los investigadores crear binarios de prueba unitaria con un laboratorio de fuzzing completamente compilado en: invocación de prueba confiable, generación de entrada, cobertura y detección de errores en un solo ejecutable.
Los investigadores con acceso temprano a OneFuzz ya han podido desplegar múltiples pruebas en Windows que fungieron como un mecanismo de seguridad proactivo previo al lanzamiento de las más recientes versiones del sistema operativo. Gracias a una sola línea de comando, cualquier desarrollador podrá desplegar una prueba de fuzzing ya sea para una implementación pequeña hasta proyectos más ambiciosos.
En el reporte, los expertos del curso de análisis de malware mencionan que OneFuzz permitirá:
- Flujos de trabajo de fuzzing componibles: OneFuzz permitirá a los usuarios incorporar sus propios fuzzers, intercambiar instrumentación, entre otras funciones
- Fuzzing de conjunto integrado: los fuzzers trabajan en equipo para compartir fortalezas, intercambiando entradas de interés entre tecnologías de fuzzing
- Triaje programático y deduplicación de resultados: proporciona casos de defectos únicos que siempre se reproducen
- Depuración en vivo bajo demanda de fallas encontradas: le permite convocar una sesión de depuración en vivo bajo demanda o desde su sistema de compilación
- Observable y depurable: el diseño transparente permite la introspección en cada etapa
- Fuzz en sistemas operativos Windows y Linux: Fuzzing utilizando su propia compilación de sistema operativo, kernel o hipervisor anidado
Como se menciona en párrafos anteriores, OneFuzz ya está disponible en GitHub bajo licencia del MIT. La herramienta se actualizará gracias a las contribuciones de los grupos de investigación y los equipos de seguridad de Microsoft. La compañía tecnológica también anunció que en el futuro seguirá el mantenimiento y expansión de Project OneFuzz, con el lanzamiento de actualizaciones y recibiendo retroalimentación.