idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Über das Internet der Dinge (Internet of Things - IoT) sind ein Großteil unserer Geräte und Systeme, wie z. B. Telefone, Computer oder Server, miteinander vernetzt. Sie tauschen über sogenannte »Broker« und deren Kommunikationsprotokolle, bspw. MQTT, Nachrichten untereinander aus. Fraunhofer FOKUS hat ein neues Verfahren für Sicherheitstests im IoT entwickelt. Es besteht aus innovativen Methoden und Werkzeugen, mit denen Schwachstellen in Kommunikationsprotokollen effizient identifiziert und behoben werden können.
Die zunehmende Vernetzung im IoT bringt nicht nur innovative Anwendungen, wie z. B. Predictive Maintenance, also die vorausschauende Wartung von Anlagen und Maschinen, oder Asset Tracking, die Überwachung von Standort und Status in Echtzeit, hervor, sondern führt auch zu erhöhten Sicherheitsrisiken durch Hackerangriffe.
Bei dem von Fraunhofer FOKUS entwickelten Verfahren werden genetische Algorithmen und Fuzzing kombiniert, um die Effizienz von Sicherheitstests im IoT zu steigern. Dafür wird in einem ersten Schritt eine Spezifikation des Kommunikationsprotokolls eines Brokers erstellt. Ein genetischer Algorithmus erzeugt aus dieser Spezifikation Testfälle. In einem zweiten Schritt wird das zu testende System mithilfe des Fuzzings mit einer Vielzahl solcher Testfälle konfrontiert. Der genetische Algorithmus wertet die Ergebnisse dieser Tests aus und erzeugt, ähnlich wie in der Biologie, optimierte Testfälle für weitere Fuzzing-Angriffe. Dieses Verfahren wird so lange wiederholt, bis das zu testende System zum Beispiel nicht mehr reagiert.
Die Besonderheit dabei: Die Generierung von Testfällen wurde optimiert, indem der genetische Algorithmus direkt auf der Spezifikation operiert, wodurch effizienter die Grenzen des Kommunikationsprotokolls getestet werden können. Dazu haben die Wissenschaftlerinnen und Wissenschaftler die von Fraunhofer FOKUS entwickelte Fuzzing-Bibliothek Fuzzino weiterentwickelt, um eine effiziente Erzeugung von Testdaten mit Hilfe von genetischen Algorithmen zu ermöglichen. Sie entwickelten darüber hinaus ein Framework zur Bewertung der Fitness von Testfällen, die Indikatoren wie Antwortzeit, Nachrichtengröße und Codeabdeckung auswerten.
Um die Wirksamkeit des neuen Verfahrens zu zeigen, wurde der Eclipse-Mosquitto- Broker, ein weit verbreitetes und von vielen Entwicklerinnen und Entwicklern eingesetztes Tool, getestet. Der Mosquitto-Broker wird bisher mit Hilfe von Google OSS-Fuzz, einem Open-Source-Fuzzing-Tool, kontinuierlich getestet. Dabei wurde die Schwachstelle, die die Methode von Fraunhofer FOKUS innerhalb weniger Minuten offengelegt hat, nicht aufgedeckt. Die Eclipse Foundation hat die Schwachstelle mittlerweile behoben (CVE-2024-8376).
Die Methode kann für jedes Kommunikationsprotokoll, auch jenseits des Internets der Dinge, eingesetzt werden und so die Sicherheitsprüfung und Entwicklung von Sicherheits-Patches verbessern.
Pressekontakt:
Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS
Referent Corporate Communications
Ronny Meier
Telefon: +49 30 3463-7423
presse@fokus.fraunhofer.de
Fraunhofer FOKUS erforscht die Digitale Vernetzung und ihre Auswirkungen auf Gesellschaft, Wirtschaft und Technologie. Seit 1988 unterstützt es Wirtschaftsunternehmen und öffentliche Verwaltung in der Gestaltung und Umsetzung des digitalen Wandels. Dazu bietet Fraunhofer FOKUS Forschungsleistungen von der Anforderungsanalyse über Beratung, Machbarkeitsstudien, Technologieentwicklung bis hin zu Prototypen und Piloten in den Geschäftsbereichen Digital Public Services, Future Applications and Media, Quality Engineering, Smart Mobility, Software-based Networks und Vernetzte Sicherheit an. Mit rund 490 Mitarbeiterinnen und Mitarbeitern in Berlin und einem jährlichen Budget von 42,6 Millionen Euro gehört Fraunhofer FOKUS zu den größten IKT-Instituten der Fraunhofer-Gesellschaft. Es erwirtschaftet gut 80 Prozent seines Budgets aus Aufträgen der Industrie und der öffentlichen Hand.
IT-Systeme sind immer komplexer und werden über das Internet der Dinge (IoT) immer stärker vernetzt
iStock/ Laurence Dutton
Merkmale dieser Pressemitteilung:
Journalisten, Studierende, Wirtschaftsvertreter, Wissenschaftler
Informationstechnik
überregional
Forschungs- / Wissenstransfer, Forschungsergebnisse
Deutsch
IT-Systeme sind immer komplexer und werden über das Internet der Dinge (IoT) immer stärker vernetzt
iStock/ Laurence Dutton
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
