Aus Software-Sicherheitslücken lernen

Forscher an der Universität des Saarlandes haben einen neuen Ansatz vorgestellt, wie man aus früheren Software-Sicherheitslücken lernt. Es lasse sich nun automatisch vorhersagen, wie verwundbar eine Softwarekomponente ist.

Wird in einem Programm eine Sicherheitslücke bekannt, muss der Programmanbieter sie möglichst schnell beheben und eine überarbeitete Version verbreiten. Diese Aktivitäten werden systematisch in großen Datenbanken aufgezeichnet. Die Saarbrücker Forscher haben diese Datenbanken nun genau analysiert. Zunächst bestimmen sie, wo im Programm die meisten Schwachstellen sind. Mit den Daten erzeugen sie eine Graphik, die wie eine Landkarte aussieht: Je röter eine Komponente erscheint, desto verwundbarer ist sie. Eine solche Abbildung soll den Programmierern erlauben, die verwundbaren Komponenten zu identifizieren und zu untersuchen.

Die "Mozilla-Landkarte": Je röter eine Komponente dargestellt wird, desto verwundbarer ist sie. Abb.: Uni Saarland
Die "Mozilla-Landkarte": Je röter eine Komponente dargestellt wird, desto verwundbarer ist sie. Abb.: Uni Saarland
Foto: xyz xyz

Daneben könne ihr Ansatz auch vollautomatisch vorhersagen, wo die nächste Lücke auftreten wird, so die Forscher. „Wir schauen uns an, mit welchen anderen Programmteilen eine verwundbare Komponente zusammenarbeitet“, so Thomas Zimmermann. Er hat das Verfahren gemeinsam mit Stephan Neuhaus entwickelt. „Es stellt sich heraus, dass verwundbare Komponenten mit ähnlichen Teilen zusammenarbeiten.“ Oder, wie Projektleiter Professor Dr. Zeller es formuliert: „Sage mir, mit wem du sprichst und ich sage dir, wie verwundbar du bist.“

Eine dokumentierte Fehler- und Änderungsgeschichte, wie sie von einschlägigen Werkzeugen automatisch angelegt wird, bildet die Grundlage für diese Schwachstellenbestimmung.

Die Saarbrücker Forscher untersuchten als praktische Beispiele die Webbrowser Firefox und Mozilla. Bei Letzterem hatten sie im Januar eine Liste von zehn Mozilla-Quellcode-Dateien erstellt, bei denen sie Sicherheitslücken vermuteten. Bei fünf dieser zehn Dateien wurden in den vergangenen sechs Monaten tatsächlich wie vorausgesagt Sicherheitslücken festgestellt – und behoben. Dieser Erfolg habe die internationale Fachwelt aufhorchen lassen, so die Saarbrücker stolz.

Im November wird das Saarbrücker Verfahren nun auf der Sicherheitskonferenz „ACM Computer and Communication Security“ in Virginia veröffentlicht. Es wurde dort als einziger Beitrag einer deutschen Wissenschaftlergruppe ausgewählt. (dsc)

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner