Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

Oft brechen Angreifer in Softwaresysteme ein, indem sie eine spezielle Zeichenkette eingeben und so einen bereits vorhandenen Programmierfehler ausnutzen. Um diesen Missbrauch zu verhindern, entwickeln Informatiker des Kompetenzzentrums für IT-Sicherheit (CISPA) an der Saar-Uni Testverfahren, die innerhalb von Minuten Millionen gültiger Programmeingaben produzieren. 

Das nötige Wissen, wie die Eingaben aufgebaut sind, extrahieren die Wissenschaftler automatisch aus den zu testenden Programmen. 

Andreas Zeller, Professor für Softwaretechnik der Universität des Saarlandes und Forscher am CISPA, will Sicherheitslücken aufdecken, bevor Cyberkriminelle sie ausnutzen können. „Moderne Testgeneratoren können sehr schnell Eingaben für das jeweilige Programm generieren“, erklärt Zeller. „Man muss aber wissen, wie die Eingabe aufgebaut ist, da das Programm ungültige Eingaben sonst sofort zurückweist“. Genau hier setzen die IT-Forscher an, nämlich zu entziffern, wie sich die Eingaben eines Programms zusammensetzen.

Aus einem vorhandenen Programm und dessen vorliegenden Eingaben können Zeller und seine Doktoranden Matthias Höschele und Alexander Kampmann automatisch eine „kontextfreie Grammatik“ herausziehen. Eine solche Grammatik beschreibt die gültigen Eingaben des Programms, etwa so wie die deutsche Grammatik gültige Sätze für die deutsche Sprache definiert. Nach den Kernpunkten dieses Ansatzes – „automatisch“ und „Grammatik“ – haben die CISPA-Forscher auch das dazugehörige Softwaresystem getauft. „Autogram“ lautet der Name ihres Prototyps, dessen erste Ergebnisse sie im September 2016 auf der Konferenz „Automated Software Engineering“ in Singapur vorstellten.

„Mit der von Autogram erzeugten Grammatik können wir in Minuten Millionen gültiger Eingaben produzieren und so ein Programm auf Herz und Nieren prüfen “, erklärt Zeller. Die Vielzahl von Eingaben reduziert die Wahrscheinlichkeit erheblich, eine Sicherheitslücke zu übersehen, so Zeller. Um die Grammatik zu extrahieren, beobachtet Autogram, was das jeweilige Programm mit den eingegebenen Daten macht. Unterschiedliche Teile der Eingabe werden nämlich in unterschiedlichen Teilen des Programms verarbeitet. So lernt Autogram, wie die Eingabe zusammengesetzt ist und wie sie mit dem Programmcode zusammenhängt. Die Grammatiken selbst sind für Menschen sehr gut lesbar, da sie so genannte Bezeichner aus dem Programmcode nutzen können.

„Momentan testen wir unseren Prototypen, indem wir Autogram verschiedene Eingabeformate wie etwa JSON oder Tabellendaten analysieren lassen. Als Grundlage nutzen wir dafür rund tausend korrekte Eingaben“, berichtet Alexander Kampmann. Langfristig sollen diese Eingaben aber auch noch wegfallen, so dass man die Grammatik direkt aus dem Programm erlernen kann. Aufbauend auf der Grammatik können Testeingaben erstellt werden, die das Programm systematisch durchleuchten. Wie man dies effizient tut, erforschen die CISPA-Wissenschaftler im Projekt „tribble“, das sie ebenfalls auf der Cebit vorstellen. „Tribble“ nutzt Grammatiken, wie sie von Autogram geliefert werden, um systematisch alle Eingabevariationen und Codestücke abzudecken.

Mit grammatikbasiertem Testen haben die IT-Forscher um Zeller große Erfahrung: 2012 stellten sie den Testgenerator Langfuzz vor, der mit Hilfe einer handgeschriebenen Grammatik den Web-Browser Firefox umfassend testete. Langfuzz ist seit vier Jahren im täglichen Einsatz bei den Firefox-Entwicklern; mit seiner Hilfe haben sie mehr als 4.000 Fehler und Sicherheitslücken gefunden und behoben.

Nun gehen die Saarbrücker Forscher den Schritt von Firefox auf beliebige Programme und Eingabeformate. „Das langfristige Ziel ist vollautomatisches Sicherheitstesten für alle – vom Kleingerät im Internet der Dinge bis zum ausgewachsenen Server“, so Zeller. 

CeBIT 2017 in Halle 6, Stand C47

GRID LIST
KI

IBM entwickelt Werkzeuge gegen Hackerangriffe durch "böse" KI

Wer sagt, daß KI immer nur im Guten verwendet wird? Forscher haben herausgefunden: Auch…
Tb W190 H80 Crop Int A10c6f83af569707974802691571c7a9

Windows 10: Firmen hinken beim Umstieg hinterher

Auch fast drei Jahre nach der Veröffentlichung des aktuellen Betriebssystems Windows 10…
Tb W190 H80 Crop Int 6f8d1a5cfa310935dd7539e3433c511d

Facebooks Datenschutz Drama geht weiter

50 von 280 untersuchten VPNs (virtuelle private Netzwerke) übermitteln über das für die…
Tb W190 H80 Crop Int F869cc9669e0b1a1a79df14ad0ed7710

IBM CEO Ginni Rometty hält Keynote auf der Welcome Night

Sie leitet seit sechs Jahren eines der bedeutendsten Technologieunternehmen weltweit und…
Tb W190 H80 Crop Int 9d9271412dd754b5e067230511aab8a7

c.a.p.e.IT macht Mittelstand fit für Industrie 4.0

Entsprechend dem diesjährigen Leitthema der Hannover Messe „Integrated Industry – Connect…
Tb W190 H80 Crop Int D9d84f4e945a01f0a00c0ad2a24d08e4

Neue Vertriebsleitung bei United Planet GmbH

Lars Matzerath übernimmt ab dem 1. Mai 2018 die Vertriebsleitung von United Planet. Er…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security