Fuzzers

Software is breekbaar. Als je er maar hard genoeg tegenaan schopt, gaat er vanzelf wat kapot. Software die gemaakt is om hard tegen andere software aan te schoppen, noemen we fuzzers. Neem als voorbeeld uw webbrowser. Dat kan Chrome zijn, Firefox, of misschien Edge of Safari. In de adresbalk kunt u een URL invoeren, bijvoorbeeld http://www.cnn.com. Maar je zou ook iets anders in kunnen voeren. utp:\\x-mix:8238 bijvoorbeeld. Of nog iets heel anders. Een fuzzer zou in dat geval miljoenen en miljoenen vreemde combinaties op de browser afvuren, in de hoop dat er eentje bij is waar de browser niet tegen opgewassen is. Dan ‘crasht’ de browser en de fuzzer noteert het soort willekeur waar de browser niet tegen kan. Dit proces kan uren en dagen duren, maar vaak worden op deze manier onverwachte bugs en problemen in software gevonden, waar de makers van de software niets van weten. Is er eenmaal zo’n fout gevonden, dan is de kunst om daar een veiligheidslek van te maken. Dat wil zeggen, de browser voor de gek houden en dingen laten doen die eigenlijk niet mogen, zoals een bestand met creditcard gegevens aan de aanvaller doorsturen. Fuzzers worden gebruikt door criminelen om een slaatje te slaan uit een veiligheidslek, maar ze worden ook gebruikt door veiligheidsonderzoekers, die juist proberen software veiliger te maken door bugs te ontdekken en te repareren voordat de ‘bad guys’ ermee aan de slag kunnen. In dat licht zijn er een aantal open source fuzzers op Internet te vinden. Google heeft ook een duit in het zakje gedaan door libFuzzer open source te maken.

https://www.wired.com/2016/06/hacker-lexicon-fuzzing

http://fuzzing.org/

https://www.mwrinfosecurity.com/our-thinking/15-minute-guide-to-fuzzing/

https://security.googleblog.com/2016/08/guided-in-process-fuzzing-of-chrome.html