Cada vez que instalamos una aplicación en nuestro ordenador, durante el proceso de instalación normalmente se copian todos los archivos del programa a su carpeta personal para que este pueda ejecutarse y funcionar sin problemas. Sin embargo, además de hacer esto, los instaladores suelen realizar otros cambios en el sistema, como alterar el registro, crear archivos en otros directorios, configurar puertos y reglas en el firewall, instalar certificados, etc, cambios que generalmente no se reflejan y que muchas veces ponen en peligro nuestro ordenador sin que seamos conscientes de ello. Por suerte, existe una herramienta muy completa que nos permite tener controlados todos estos cambios: Attack Surface Analyzer.
Attack Surface Analyzer es una aplicación totalmente gratuita y de código abierto, desarrollada por Microsoft, diseñada especialmente pensando en ofrecer a los ingenieros informáticos e investigadores de seguridad una herramienta muy completa para poder analizar los cambios no autorizados que cualquier aplicación puede hacer en un sistema operativo, como Windows, macOS o Linux, permitiendo detectar muy fácilmente posibles fallos de seguridad que puedan aparecer durante la instalación de un software.
Para ello, esta herramienta compara la configuración del equipo antes y después de la instalación, pudiendo monitorizar así todos los cambios que se han realizado durante el proceso en los principales apartados del sistema operativo:
- Sistema de archivos (todos los archivos que se copian o modifican).
- Cuentas de usuario.
- Servicios.
- Puertos de red.
- Certificados.
- Cambios en el registro de Windows.
Toda la información que recoja esta aplicación se guarda en una base de datos SQLite «asa.sqlite» para poder analizar toda esta información fácilmente.
Esta herramienta se puede descargar de forma totalmente gratuita desde el siguiente enlace. Además de poder utilizarla desde línea de comando (CLI), también tenemos la opción de usar su interfaz gráfica basada en Electrón.
Microsoft está retomando el desarrollo de Attack Surface Analyzer, y tiene grandes planes para esta aplicación
Attack Surface Analyzer 1.0 vio la luz en 2012 y, aunque aún podemos encontrar esta versión en Internet, actualmente ya no es compatible con las últimas versiones de los sistemas operativos.
Hace 8 días, Microsoft lanzó la nueva versión de esta herramienta, Attack Surface Analyzer 2.0, una versión reescrita desde cero utilizando Microsoft .NET Core y Electron para poder servir como herramienta de seguridad para otros sistemas y, además, se convirtió en una herramienta de código abierto, como hemos visto.
Microsoft tiene en mente continuar con el desarrollo de esta aplicación, y además ha publicado una lista de cosas por hacer que irán llegando en futuras versiones de esta herramienta para cubrir aún más ámbitos de la seguridad de los sistemas operativos:
- Recopilar información de la firma digital del código.
- Monitorizar la instalación de nuevos drivers.
- Controlar la configuración del firewall de Windows.
- Monitorizar las instalaciones de paquetes Redistributables.
- Monitorización en tiempo real del tráfico de red.
- Monitorización en tiempo real de los cambios del registro.
- Otras funciones que estaban presentes en la versión original de Attack Surface Analyzer y que fueron eliminadas por temas de compatibilidad.
Microsoft ha estado haciendo grandes aportes al software libre en los últimos meses, sobre todo desde la compra de GitHub, y el lanzamiento de esta completa suite de seguridad, y los planes de futuro que tiene para la versión 2.1 (actualmente en Alpha), es una muestra más de ello.