Wzrost zainteresowania fuzzingiem jako metodą testowania oprogramowania pod kątem występowania luk w bezpieczeństwie jest zauważalny. Kolejne publikacje, coraz częściej pojawiające się w Internecie, prezentują coraz wyższy poziom merytoryczny i co ciekawsze, często przedstawiają ciekawe, autorskie metody testowania. Na samym Milw0rmie w przeciągu ostatnich miesięcy pojawiło się kilka wciągających artykułów takich jak PHP Fuzzing in Action czy też publikacja o chwytliwej nazwie Fuzzing for Fun and Profit. Oprócz publicznie udostępnianych tekstów, za które warto podziękować Społeczności, pojawiają się także płatne agregatory wiedzy w formie pisanej, czyli książki. Najnowszym wielostronicowym dziełem poruszającym tematykę fuzzingu jest książka pt. „Fuzzing for Software Security Testing and Quality Assurance”. Do „tekstowych” źródeł informacji dodajmy multum oprogramowania o otwartych kodzie, które idealnie nadaje się do analizy i zdobywania bardziej praktycznej wiedzy a zauważymy,  że o rozwój fuzzingu nie musimy się martwić. Problem w tym, że rosnąca popularność niesie ze sobą duże ryzyko.

Fuzzing oprócz swojej niewątpliwej użyteczności jest także techniką bardzo szkodliwą. Celem fuzzera mogą być protokoły sieciowe, aplikacje webowe, programy desktopowe itd. Ponadto, działający fuzzer w większości wypadków nie wymaga od użytkującej go osoby wiedzy z zakresu bezpieczeństwa komputerowego… Duży zakres potencjalnych ofiar i łatwa obsługa są głównymi powodami przemawiającymi za ograniczeniem publikacji w pełni funkcjonalnych fuzzerów. Publikacja w pełni działającego fuzzera o dużych możliwościach niesie ze sobą takie same konsekwencje jak upublicznienie działającego i nie wymagającego modyfikacji exploit’a na groźną lukę.

Można zaobserwować, że problem tworzenia i udostępniania fuzzerów sprowadza się do odpowiedzi na jedno z najtrudniejszych pytań związanych z IT Security – czy pełna jawność w odniesieniu do oprogramowania ułatwiającego pentesty jest najlepszym rozwiązaniem. Niestety, nie jestem w stanie odpowiedzieć na to pytanie. Ustosunkowanie się do tego problemu leży w gestii każdej pojedynczej jednostki związanej z IT Security. Prawdziwy problem wystąpi w przypadku wydania fuzzera opartego o algorytmy ewolucyjne, który potrafiłby dostosować się do wielu zróżnicowanych celów…