D9ping

Eerder had ik het al over 5 static sourcecode analyzers voor PHP scripts die je kunt gebruiken om je geschreven PHP code op beveiliging te testen. Het is daarnaast ook handig een tool te gebruiken om je eigen webapplicatie daadwerkelijk aan te vallen op een manier dat hackers en scriptkiddies ook kunnen. Dit geeft vaak ook een betere kijk op welke informatie over de interne werking van je webapplicatie je vrijgeeft.

Netsparker^®
Dit is mijn favorieten security audit tool. Een groot voordeel ten opzichten van andere producten is dat het probeert geen enkele false positive te geven, en dat doet het erg goed. Dat betekent dat als deze tool je webapplicatie gescant geeft en het aangeeft dat er een SQL injectie is er dan echt een SQL injectie is. Daarnaast heeft het ook wat praktische adviezen zoals bijvoorbeeld autocomplete=off toevoegen aan wachtwoord velden. Het nadeel van geen enkele false postive proberen te geven is wel dat mogelijke bepaalde beveiligingslekken niet gevonden kunnen worden omdat ze onzeker zijn. NetSparker vindt dus vooral de meest belangrijke beveiligingsproblemen. De “Community Edition” is alleen voor niet zakelijk gebruik. Een beperking is dat de instellingen niet gewijzigd kunnen worden.
website www.mavitunasecurity.comwww.netsparker.com

WebCruiser
Deze tool vindt soms wat unieke beveiligings problemen. Er zit ook een tool voor het fuzzy’en naar Cross site scripting beveilings problemen. WebCruiser is behoorlijk snel in vergelijking met de andere tools. Het bevat ook een tool waarmee een proof of concept gegeneerd/uitgevoerd kan worden van een gevonden beveiligingsprobleem. Hiermee kun je dus aantonen dat een beveiligingsprobleem in de webapplicatie dat getest wordt ook echt is. De gratis versie bevat reclame links.
website www.sec4app.comwww.janusec.com

WebSecurify
Deze tool vindt vooral veel beveiligingsproblemen maar het scannen duurt wel ook wat langer. Het doet allerlei extra tests die ik in andere producten nog niet ben tegen gekomen. Het nadeel van veel beveiligingsproblemen proberen op te sporen is naast dat het aanvallen even kan duren ook dat niet elke gevonden beveiligingsprobleem echt een beveiligingsprobleem hoeft te zijn. Het programma is iets minder overzichtelijk dan gebruikers interface van WebCruiser en Netsparker maar WebSecurify is volledig OpenSource en er is geen betaalde versie.
Daarnaast is WebSecurify de enige tool die veel fuzzying doet en daarmee de lastige beveilingsproblemen vindt.
website www.websecurify.com

Intel^® heeft McAfee^® gekocht. Waarom Intel McAfee koopt is mij niet duidelijk geworden. Intel is een echt hardware bedrijf dat het slechts een beetje met software heeft. McAfee^® is echt een software bedrijf. Mogelijk is dat er met de kennis van McAfee^® over beveiling er beter naar nieuwe exploit beveiligstechnieken gekeken kan worden. Zoals bijvoorbeeld de NX-bit dat hardware matige DEP implementeert in Windows.
McAfee^® was dit jaar bijzonder actief bezig, zo was het bedrijf in staat het een scan removal virus tool bij alle Flash installatie op te dringen.
En was McAfee^® een soort concurrent tool voor WOT(web of trust) begonnen genaamd SiteAdvisor.
Ook werdt eerder dit jaar Norton^® al overgenomen door VeriSign^®. Deze overname is wel verklaarbaar beide bedrijven hebben het sterk op beveiling.

FingerPrint is één van mijn favorieten tooltjes om mijn windows installatie te controleren op malware.
Het is geen virus scanner en ook geen antispyware programma maar een hash programma.
Een hash is een stukje tekst genereert door een speciaal algoritme dat een stuk data beschrijft en als er ook maar 1 bit veranderd in de data waarover de hash gemaakt wordt dan wordt er een totaal andere hash gegenereerd. Hashes worden vaak gebruikt om te controleren of een bestand goed gedownload is.

Met fingerPrint kun je hashes generen van alle bestanden in een map. Dit resultaat samen met de bestandsgrootte en AMC (access, modify, change) tijden wordt dan opgeslagen en later kun je nog een keer een de hashes van de bestanden in die map laten generen en dan precies zien welk bestand gewijzigd is. Wat goed hieraan is dat je precies kunt zien welk bestand gewijzigd is. Natuurlijk zal bij de meeste een Windows updates een aantal belangrijke Windows bestanden aangepast worden. Maar als je geen windows update hebt gedaan en er zijn een aantal belangrijke Windows systeem bestanden aangepast dan weetje dat er mogelijk iets mis is.
Bij fingerprint creëer je eerst een profiel. In dit profiel kun je de map aan geven maar je kunt ook opgeven welke bestanden je geen hash van wilt hebben. Als je
bijvoorbeeld de hele map System32 gaat hashen dan wil je geen hash hebben van logfiles. Dus je kunt opgeven in je profiel om *.log bestanden niet te hashen.
Ook kan FingerPrint om een bepaalde tijd geplant automatische een vergelijking gaan doen. Het programma is al wat ouder, maar voor de paranoia een aanrader.
FingerPrint is o.a. van snapfiles te downloaden.

Boinc is een programma waarmee jou computer mee kan rekenen aan wetenschappelijk onderzoek dat veel rekenkracht vereist. Het idee is dat je de onbenutte tijd dat je processor van je computer niks doet gebruikt wordt voor rekeningen te doen aan voor een wetenschappelijk goed doel. Bijvoorbeeld het onderzoeken hoe eiwitten “vouwen”. Dit onderzoek kan helpen bij het maken van medicijnen tegen bepaalden ziekten. Gezamenlijk met andere computers kan goedkoop de rekenkracht van een supercomputer of beter bereikt worden door de vele computers die meedoen. Nadeel wel dat je computer meer belast wordt wat ervoor zorgt dat je processor continu warm is. Overhitting van je processor kan ervoor zorgen dat je processor onmiddellijk of eerder kapot gaat dus je bent gewaarschuwd. Het is tegenwoordig ook mogelijk om de processors van de grafische kaart pr gebruiken. Deze kunnen op bepaalde taken veel sneller uitvoeren. Ik doe zelf al een tijdje mee aan een aantal boinc projecten o.a. aan rosseta@home maar ook aan WorldCommutiyGrid. Persoonlijk vindt ik het belangrijk een project te kiezen dat direct verbeterde invloed op mensen heeft. Het project SETI@home is jaren lang populaire geweest dat een salliet gebruikte voor analyze van spectrutur van de ruimte. Maar ik ben altijd sceptische over het nut van dit project geweest. Sommige zijn nog steeds erg hoopvol ooit een signaal te ontvangen van buitenaards leven maar ik gok dat dit het niet waard is. Ten eerste al omdat de kans groot is dat het onbereikbaar ver weg is als er ooit al eens een echt  buitenaards signaal gevonden wordt met SETI@home.. Nee, onderzoek naar hoe eiwitten vouwen lijkt me veel effectiever. Maar iedereen heeft een eigen keus, let wel op dat er een duidelijk doel is. Ergens aan meedoen omdat het veel punten/credits oplevert is niet de echte bedoeling van BOINC. De credits die je krijgt geeft slechts een indicatie hoeveel je hebt bijgedragen aan een project. Je krijgt er nooit echt geld voor. Alle projecten zijn op het moment een vrijwillig donatie bij BOINC. Het stroom verbruik gaat wel iets omhoog als je een BOINC project draait. Dit komt doordat de processor continu belast wordt en dus niet de energie besparing functie van de processor gebruikt wordt. Bijvoorbeeld terugklokken van de klok als de transistors weinig schakelingen maken. Echter verbruikt een processor altijd stroom zelfs als die niks doet verbruikt die nog flink wat. Dus om je processor wat nuttigs te laten doen als je weinig taken voor je processor hebt maakt je het stroom verbruik wel wat meer efficiënter. Daarnaast is het ook zo dat de processor 99% van de tijd op de gebruiker wacht als je slechts aan het webbrowsen of tekst verwerken bent. BOINC is een opensource programma, de programma’s van de projecten zijn bijna altijd niet opensource. Daarom moet je voorzichtig zijn in de keuze voor welk project je aan meedoet. Ook moet je op privacy letten, je kunt je computers details (besturingssysteem en OS) openbaar met BOINC maken. Boinc kan ook het cpu verbruik van projecten beperken, wat zeer aan te raden is met Laptops zo verkom je dat ze te warm worden. Om mee te doen moet je eerst Boinc downloaden en dan het rosseta@home project toevoegen het boice programma.