Kostenlose Microsoft-Tools zum Aufdecken von Sicherheitsproblemen
Microsoft stellt Entwicklern zwei kostenlose Tools zum Auffinden von Lücken in Anwendungen bereit. Die Redmonder Entwickler benutzen sie bereits seit Längerem im Rahmen des Security Development Lifecycle.
- Daniel Bachfeld
Microsoft stellt Entwicklern zwei kostenlose Tools zum Auffinden von Sicherheitslücken in Anwendungen bereit. Der BinScope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags (/GS, /SafeSEH und andere), Schutzmechanismen (etwa /DYNAMICBASE für ALSR) und Kontrollen in der Software vorhanden respektive aktiviert sind. Mit dem MiniFuzz File Fuzzer können Entwickler ihre Anwendungen auf unerwartete Verhaltensweisen testen und so früh im Entwicklungsprozess feststellen, ob etwa Programmabstürze als Sicherheitsrisiken untersucht werden müssen. Grundlagen zum Thema Fuzzing vermittelt der heise-Security-Artikel "Datensalat".
Beide Tools benutzt Microsoft bereits seit Längerem in Rahmen seines Security Development Lifecycle (SDL). Tests mit dem BinScope Binary Analyzer und dem Fuzzer sind etwa während der Verifikationsphase eines Produkts im SDL zwingend vorgeschrieben. Sie laufen als Stand-alone-Werkzeug, lassen sich aber auch in Visual Studio 2008 integrieren. Microsoft hat kurze Videos zur Demonstration von BinScope und MiniFuzz auf seinen Technet-Seiten veröffentlicht.
Zudem hat Microsoft eine kurze Anleitung zur Verfügung gestellt, wie man das im Mai veröffentlichte "SDL Process Template for Visual Studio Team System" in Visual Studio integriert und bedient.
Siehe dazu auch:
- Microsoft veröffentlicht Gratis-Tool zum Entwickeln sicherer Software, Meldung auf heise Security
- Microsoft Threat Modeling Tool in Version 3 verfügbar, Meldung auf heise Security
(dab)
