Mercoledì prossimo Mozilla interverrà allo show annuale Black Hat di Las Vegas (Briefings: 1-2 Agosto 2007) per mostrare alcuni particolari strumenti sviluppati dall'azienda per testare i suoi software browser. In una sessione intitolata "Building and Breaking the Browser", Window Snyder, Mozilla Chief Security Officer, parlerà di una serie di strumenti di sicurezza, "protocol fuzzer" per HTTP e FTP e un fuzzer per JavaScript, che insieme hanno portato alla scoperta di dozzine di bug critici di sicurezza nei suoi software. Secondo quando riportato nel riepilogo della sessione del Black Hat USA 2007, Mozilla rilascerà pubblicamente almeno uno di questi strumenti durante l'evento. Il rilascio pubblico del tool è degno di nota perché, se da un lato Mozilla utilizza questi tool per testare Firefox e renderlo più sicuro, questi strumenti sono normalmente abbastanza potenti da mettere a rischio di attacchi milioni di utenti, se utilizzati da malintenzionati. La tecnica del "fuzzing", conosciuta anche come "fault-injection testing" è infatti largamente utilizzata dagli esperti di sicurezza per scovare falle e bug negli applicativi.

Dall'estratto della sessione: "I vendor tradizionali di software hanno poco interesse nella condivisione dei dettagli più crudi riguardo ciò che è necessario fare per proteggere un vasto progetto software … Mozilla sta utilizzando apertura e trasparenza per meglio proteggere i propri prodotti ed aiutare gli altri progetti software a fare lo stesso. Mozilla ha creato alcuni strumenti, o collaborato alla loro realizzazione, con lo scopo di blindare il browser Firefox ed il client di posta Thunderbird, il primo di questi tool sarà rilasciato al Blackhat Las Vegas 2007 … Questi strumenti … possono essere utili a chiunque stia sviluppando o testando applicazioni che implementano queste tecnologie".

In una intervista rilasciata a internetnews.com a Marzo, Snyder aveva evidenziato che Mozilla stava già utilizzando quest'intera gamma di strumenti e tecniche di sicurezza sui suoi prodotti. Snyder aveva anche anticipato che in futuro non si poteva escludere la creazione di un progetto open-source targato Mozilla basato proprio su strumenti e informazioni relativi alla sicurezza.

In attesa del Black Hat, internetnews.com si è rivolto agli altri vendor del settore per ottenere da loro eventuali informazioni sul software fuzzer utilizzato da Mozilla. Opera Software ha affermato che Mozilla ha già inviato questo software di testing a due suoi sviluppatori, e che il team responsabile lo sta attualmente testando con differenti prodotti. Un portavoce di Google ha affermato che il colosso della ricerca non è a conoscenza di questo software. Google ha recentemente svelato un suo progetto fuzzer, chiamato Lemon, un prodotto che tuttavia non sarà rilasciato pubblicamente. Google ha affermato che, non conoscendo il software di Mozilla, in questo momento non è possibile affermare se l'azienda valuterà di utilizzarlo in aggiunta a Google Lemon. Microsoft infine non ha risposto direttamente alla richiesta di internetnews.com, limitandosi ad affermare che il fuzzing è una parte importante dell'intero processo di sviluppo della sicurezza, e che l'azienda tende a supportare gli altri vendor che adottano simili metodi per aiutare a proteggere i propri utenti.

Tuttavia, secondo Christen Krogh, Vice President dell'engineering di Opera, sussistono alcune preoccupazioni sulle modalità in cui il fuzzer di Mozilla possa venire utilizzato in-the-wild. Krogh ha affermato: "Qualsiasi strumento reso pubblico, che aiuta a trovare modi di eseguire l'exploit di un certo software, rischia di essere utilizzato in maniera impropria… Quando un'organizzazione pubblicata questi strumenti, deve valutare se il tool può risultare in un disservizio per milioni di innocenti". Secondo Jacob West, un ricercatore di sicurezza dell'azienda Fortify, il fuzzing è ad ogni modo una tecnica che dovrebbe essere adottata dalla maggior parte dei software vendor. Questo strumento è infatti popolare proprio perchè funziona bene per trovare errori più grossolani e nello tesso tempo è facile da utilizzare. Secondo West, Mozilla potrebbe rendere questo tipo di software ancora migliore e, rilasciando un strumento leggero su vasta scala, regalare benefici all'intero settore dello sviluppo software.