idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Das Bundesministerium für Bildung und Forschung hat der Hochschule Bonn-Rhein-Sieg das Projekt SoftSCheck genehmigt.
Im Rahmen des 15 Monate laufenden Projekts werden über 100 weltweit verfügbare Tools zum Threat Modeling und Fuzzing hinsichtlich ihrer Eignung für den Softwaretest insbesondere in der Softwareindustrie überprüft und bewertet. Softwarehersteller werden damit in die Lage versetzt, Software-Design und Software-Tests wirkungsvoller und kostengünstiger mit den für ihre Aufgabenstellung geeigneten Tools durchzuführen und dadurch die Software sicherer zu machen: Mit Hilfe dieser Tools lassen sich bisher nicht erkannte Fehler und Sicherheitslücken erkennen.
Software kann nicht fehlerfrei erstellt werden. Trotz umfangreicher Tests sind sporadische Betriebsausfälle (Business Continuity) und unbeabsichtigter Datenabfluss die häufigsten Folgen sicherheitsrelevanter Fehler in Software und führen zu hohen Umsatzausfällen und zu Datenschutzproblemen. Und sie ermöglichen Computerspionage. Aus dieser Erkenntnis resultiert auch der komplett Projektname Rapid in-depth Analysis of Software-Vulnerabilities. Die beiden folgenden Verfahren können Tool-gestützt zur Entdeckung bisher nicht erkannter Programmfehler und Sicherheitslücken eingesetzt werden:
Threat Modeling unterstützt als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Architektur bereits in der Design-Phase. So können Fehler und insbesondere sicherheitsrelevante Fehler (Sicherheitslücken, Design Flaws, Angriffspunkte) identifiziert, bewertet und anschließend korrigiert werden. Dazu werden die Eingabeschnittstellen (attack surface) systematisch auf mögliche Angriffsmöglichkeiten untersucht.
Beim Fuzzing werden die Eingabeschnittstellen zu testender Programme mit (mehr oder weniger) zufälligen - oder auch zielgerichteten - Daten versorgt, um durch die Analyse undokumentierter und damit ungewollter Reaktionen des Programms, Programmierfehler und Sicherheitslücken zu erkennen. Dazu muss der Quellcode nicht offen vorliegen (black box Test). Die Qualität von Fuzzern hängt wesentlich von der Menge der zum Test eingesetzten Daten und der Qualität der erzeugten Eingabedaten ab.
Kooperationspartner im Projekt sind unter anderem die Gesellschaft für Informatik zusammen mit ihrer Schulungstochter Deutsche Informatik-Akademie (DIA), Microsoft Deutschland, SAP und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).
Ansprechpartner:
Prof. Dr. Hartmut Pohl
Hochschule Bonn-Rhein-Sieg
Fachbereich Informatik
Tel. 02241/865-204
E-Mail: hartmut.pohl@h-brs.de
Peter Sakal
Hochschule Bonn-Rhein-Sieg
Fachbereich Informatik
Tel. 02241/865-275
E-Mail: peter.sakal@h-brs.de
http://www.hochschule-bonn-rhein-sieg.de
Merkmale dieser Pressemitteilung:
Informationstechnik
überregional
Forschungsprojekte
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
