idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Erweiterte Suche ?
Home > Pressemitteilung: Cebit 2017: IT-Forscher entwickeln ...
Science Video Project
idw-Abo
idw-News App:

AppStore

Google Play Store

Instanz:
Teilen: 
15.03.2017 12:06

Cebit 2017: IT-Forscher entwickeln automatische Sicherheitstests für komplexe Softwaresysteme

Friederike Meyer zu Tittingdorf Pressestelle der Universität des Saarlandes
Universität des Saarlandes

    Oft brechen Angreifer in Softwaresysteme ein, indem sie eine spezielle Zeichenkette eingeben und so einen bereits vorhandenen Programmierfehler ausnutzen. Um diesen Missbrauch zu verhindern, entwickeln Informatiker des Kompetenzzentrums für IT-Sicherheit (CISPA) an der Saar-Uni Testverfahren, die innerhalb von Minuten Millionen gültiger Programmeingaben produzieren. Das nötige Wissen, wie die Eingaben aufgebaut sind, extrahieren die Wissenschaftler automatisch aus den zu testenden Programmen. Details präsentieren die Forscher auf der Computermesse Cebit in Halle 6 an Stand C47.

    Andreas Zeller, Professor für Softwaretechnik der Universität des Saarlandes und Forscher am CISPA, will Sicherheitslücken aufdecken, bevor Cyberkriminelle sie ausnutzen können. „Moderne Testgeneratoren können sehr schnell Eingaben für das jeweilige Programm generieren“, erklärt Zeller. „Man muss aber wissen, wie die Eingabe aufgebaut ist, da das Programm ungültige Eingaben sonst sofort zurückweist“. Genau hier setzen die IT-Forscher an, nämlich zu entziffern, wie sich die Eingaben eines Programms zusammensetzen.

    Aus einem vorhandenen Programm und dessen vorliegenden Eingaben können Zeller und seine Doktoranden Matthias Höschele und Alexander Kampmann automatisch eine „kontextfreie Grammatik“ herausziehen. Eine solche Grammatik beschreibt die gültigen Eingaben des Programms, etwa so wie die deutsche Grammatik gültige Sätze für die deutsche Sprache definiert. Nach den Kernpunkten dieses Ansatzes – „automatisch“ und „Grammatik“ – haben die CISPA-Forscher auch das dazugehörige Softwaresystem getauft. „Autogram“ lautet der Name ihres Prototyps, dessen erste Ergebnisse sie im September 2016 auf der Konferenz „Automated Software Engineering“ in Singapur vorstellten.

    „Mit der von Autogram erzeugten Grammatik können wir in Minuten Millionen gültiger Eingaben produzieren und so ein Programm auf Herz und Nieren prüfen “, erklärt Zeller. Die Vielzahl von Eingaben reduziert die Wahrscheinlichkeit erheblich, eine Sicherheitslücke zu übersehen, so Zeller. Um die Grammatik zu extrahieren, beobachtet Autogram, was das jeweilige Programm mit den eingegebenen Daten macht. Unterschiedliche Teile der Eingabe werden nämlich in unterschiedlichen Teilen des Programms verarbeitet. So lernt Autogram, wie die Eingabe zusammengesetzt ist und wie sie mit dem Programmcode zusammenhängt. Die Grammatiken selbst sind für Menschen sehr gut lesbar, da sie so genannte Bezeichner aus dem Programmcode nutzen können.

    „Momentan testen wir unseren Prototypen, indem wir Autogram verschiedene Eingabeformate wie etwa JSON oder Tabellendaten analysieren lassen. Als Grundlage nutzen wir dafür rund tausend korrekte Eingaben“, berichtet Alexander Kampmann. Langfristig sollen diese Eingaben aber auch noch wegfallen, so dass man die Grammatik direkt aus dem Programm erlernen kann. Aufbauend auf der Grammatik können Testeingaben erstellt werden, die das Programm systematisch durchleuchten. Wie man dies effizient tut, erforschen die CISPA-Wissenschaftler im Projekt „tribble“, das sie ebenfalls auf der Cebit vorstellen. „Tribble“ nutzt Grammatiken, wie sie von Autogram geliefert werden, um systematisch alle Eingabevariationen und Codestücke abzudecken.

    Mit grammatikbasiertem Testen haben die IT-Forscher um Zeller große Erfahrung: 2012 stellten sie den Testgenerator Langfuzz vor, der mit Hilfe einer handgeschriebenen Grammatik den Web-Browser Firefox umfassend testete. Langfuzz ist seit vier Jahren im täglichen Einsatz bei den Firefox-Entwicklern; mit seiner Hilfe haben sie mehr als 4.000 Fehler und Sicherheitslücken gefunden und behoben.

    Nun gehen die Saarbrücker Forscher den Schritt von Firefox auf beliebige Programme und Eingabeformate. „Das langfristige Ziel ist vollautomatisches Sicherheitstesten für alle – vom Kleingerät im Internet der Dinge bis zum ausgewachsenen Server“, so Zeller.

    Hintergrund: Kompetenzzentrum für IT-Sicherheit CISPA

    Das CISPA wurde im Oktober 2011 mit Förderung des Bundesministeriums für Bildung und Forschung als Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes gegründet. Es vereint die IT-Sicherheitsforschung des Fachbereichs Informatik sowie der Partnerinstitute auf dem Campus, dem Max-Planck-Institut für Informatik, dem Max- Planck-Institut für Softwaresysteme und dem Deutschen Forschungszentrum für Künstliche Intelligenz. Inzwischen hat sich das CISPA zu einem Forschungszentrum für IT- Sicherheit mit hoher internationaler Strahlkraft entwickelt. Aufgrund der exzellenten Qualität seiner wissenschaftlichen Publikationen und Projekte ist das CISPA heute eines der führenden Forschungszentren für IT-Sicherheit weltweit.

    Weitere Informationen:
    Publikation und Videos unter
    www.st.cs.uni-saarland.de/models/autogram

    Ein Pressefoto für den kostenlosen Gebrauch finden Sie unter www.uni-saarland.de/pressefotos

    Fragen beantwortet:

    Professor Andreas Zeller
    Center for IT-Security, Privacy and Accountability
    Saarland Informatics Campus E9.1
    Tel.: +49 681 302 70971
    E-Mail: zeller@cispa.saarland

    Redaktion:
    Gordon Bolduan
    Kompetenzzentrum Informatik Saarland
    Tel: +49 681 302-70741
    E-Mail: gbolduan@mmci.uni-saarland.de

    Hinweis für Hörfunk-Journalisten: Sie können Telefoninterviews in Studioqualität mit Wissenschaftlern der Universität des Saarlandes führen, über Rundfunk-Codec (IP-Verbindung mit Direktanwahl oder über ARD-Sternpunkt 106813020001). Interviewwünsche bitte an die Pressestelle (0681/302-2601).

    Weitere Informationen:

    http://www.st.cs.uni-saarland.de/models/autogram

    Bilder

    Am CISPA, dem Kompetenzzentrum für IT-Sicherheit, legt Professor Andreas Zeller mit seinem Kollegen das Fundament für automatisierte Sicherheitstests.
    Am CISPA, dem Kompetenzzentrum für IT-Sicherheit, legt Professor Andreas Zeller mit seinem Kollegen ...
    Tobias Schwerdt
    None

    Merkmale dieser Pressemitteilung:
    Journalisten, Wirtschaftsvertreter, Wissenschaftler
    Informationstechnik
    überregional
    Forschungs- / Wissenstransfer, Forschungsergebnisse
    Deutsch

     

    Am CISPA, dem Kompetenzzentrum für IT-Sicherheit, legt Professor Andreas Zeller mit seinem Kollegen das Fundament für automatisierte Sicherheitstests.


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).