CISPA – Helmholtz-Zentrum i.G.
06.06.2018, 11:18 Uhr
Intelligente Massentests für mehr IT-Sicherheit
Um ein ungesichertes Auto zu finden, reicht es oft, auf einem Parkplatz mehrere Autotüren zu testen. Ähnlich gehen Cyberkriminelle vor, wenn sie an ein Programm wahllos Eingaben aus Buchstaben, Zahlen und Sonderzeichen senden, um so eine Sicherheitslücke zu finden. Um ihnen zuvorzukommen, entwickeln Informatiker des CISPA Helmholtz-Zentrums i.G. Software, die dies effizienter tut.
Innerhalb von Minuten erlernt die Testsoftware das Eingabeformat und produziert Millionen gültiger Programmeingaben; das dafür notwendige Wissen extrahiert die Software automatisch aus den Programmen. Ihre neuesten Werkzeuge stellen die Forscher ab dem 11. Juni in Hannover auf der Computermesse Cebit in Halle 27 an Stand F68 vor.
„Moderne Programme können sehr schnell sehr viele Tests generieren. Doch die Spreu trennt sich vom Weizen, wenn es darum geht, gültige Eingaben zu erstellen, die tief in das Zielprogramm vordringen", erklärt Professor Andreas Zeller, der an der Universität des Saarlandes Softwaretechnik lehrt und am CISPA Helmholtz-Zentrum i.G. forscht.
Mit seinen Doktoranden hat er daher Autogram entwickelt. Das Programm erkennt automatisch die Regeln, die für die Eingaben gelten müssen, damit diese als gültig akzeptiert werden. Die Informatiker bezeichnen diese Regeln zusammenfassend als „kontextfreie Grammatik“. Diese wiederum verarbeitet „tribble“, eine weitere Software der Saarbrücker Informatiker, und erzeugt so Millionen von zufälligen, aber gültigen Eingaben für das zu untersuchende Softwaresystem. „Damit können wir das Softwaresystem auf Herz und Nieren prüfen“, erläutert Zeller. Die Vielzahl der getesteten Eingaben verringere die Wahrscheinlichkeit erheblich, eine Sicherheitslücke zu übersehen. Neu und weltweit einmalig: Das Saarbrücker Testsystem braucht hierfür nichts als das zu testende Programm, während die Konkurrenz auf umfassende Beispieleingaben angewiesen ist.
„Unsere Werkzeuge Autogram und tribble weisen damit in eine Zukunft, in der voll automatisiertes Testen auf Sicherheitslücken für jedes Programm möglich ist, das Eingabedaten verarbeitet“, sagt Zeller. Bereits 2012 hat sein Lehrstuhl den auf Grammatiken basierenden Testgenerator „Langfuzz“ für die Programmiersprache JavaScript vorgestellt. Inzwischen ist er täglich im Einsatz bei Unternehmen wie Mozilla und Google und hat in den Webbrowsern Firefox und Chrome mehrere Tausend Fehler und Sicherheitslücken gefunden.