idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
03/10/2022 14:11

Neues Forschungsprojekt zum Schutz vor Schwachstellen in frei zugänglicher Software

Johanna Pietsch Stabsstelle Presse, Kommunikation und Marketing
Universität Paderborn

    Paderborner Wissenschaftler kooperieren mit SAP

    Frei zugängliche Computerprogramme, die jeder Nutzer herunterladen, anwenden, verändern und verbreiten darf – das steckt hinter sogenannten „Open-Source-Softwares“. Das kollektive Wissen von möglichst vielen Personen soll die Programme so stetig optimieren und weiterentwickeln. In webbasierten Datenbanken kann man auf sie zugreifen. Dieses Angebot nutzen Entwickler mittlerweile häufig auch dazu, einzelne Softwaremodule, die sie für eine neue Anwendung benötigen, von der Datenbank zu beziehen, anstatt sie selbst von Grund auf zu entwickeln.

    Beispielsweise können sie für einen Onlineshop auf diese Weise ein fertig programmiertes Modul für den Bezahlprozess verwenden. Das Problem dabei: Durch die dynamische Eigenschaft von frei zugänglichen Inhalten treten in den herangezogenen Modulen immer wieder Schwachstellen auf. Erst vor Kurzem hat eine Sicherheitslücke in einer weit verbreiteten Open-Source-Software dazu geführt, dass Nutzer mit kriminellen Absichten schadhafte Anweisungen in das Programm eingeschleust haben. Wenn die betroffenen Unternehmen nicht schnell genug reagiert hätten, hätten Kriminelle so Zugriff auf die Server von Internetriesen wie Apple oder Amazon bekommen. Um dieses Risiko zu minimieren, haben sich Wissenschaftler vom Institut für Informatik und vom Heinz Nixdorf Institut der Universität Paderborn für ein Forschungsprojekt mit dem Softwareunternehmen SAP SE zusammengeschlossen. Ziel ist es, Werkzeuge zu entwickeln, die mögliche Schwachstellen in Open-Source-Anwendungen auch mit bisher unzureichenden Informationen erkennen und entfernen können. Im September fiel der Startschuss des Projekts mit einer Laufzeit von drei Jahren. Es wird von der Deutschen Forschungsgemeinschaft (DFG) mit knapp 500.000 Euro gefördert.

    Identifikation von möglichen Risiken auch ohne Quellcode

    Das Transferprojekt baut auf der Arbeit des Sonderforschungsbereichs 901 „On-The-Fly Computing“ auf, in dem Wissenschaftler der Universität Paderborn seit 2011 daran forschen, individuelle IT-Dienste automatisch zu konfigurieren und bereitzustellen. Nun wollen die Informatiker Techniken aus der Qualitätskontrolle von Dienstleistungen auf den Umgang mit frei zugänglicher Software übertragen. „Zwar gibt es bereits Tools, die Schwachstellen in Open-Source-Softwares erkennen können, allerdings nur, wenn der sogenannte ‚Quellcode‘ vorliegt. Dieser ist in einer für Menschen lesbaren Programmiersprache geschrieben. Er muss von bestimmten Programmen erst in einen Maschinencode übersetzt werden, um dem Computer die einzelnen Anweisungen zu übermitteln“, erläutert Stefan Schott, wissenschaftlicher Mitarbeiter der Fachgruppe „Secure Software Engineering“ unter der Leitung von Prof. Dr. Eric Bodden. Da Open-Source-Softwares gemeinschaftlich genutzt und weiterentwickelt werden, liegt ihr exakter Quellcode häufig nicht unmittelbar vor. Wenn verschiedene Entwickler ihn bearbeiten und dann in Maschinencode übersetzen, geht der menschenlesbare Code verloren. Ohne diese Information sei es laut Schott aktuell nicht möglich, den Ursprung der Angriffspunkte zu identifizieren. „Ziel unserer Arbeit ist es, eine Prozesskette zu entwickeln, die es ermöglicht, Schwachstellen in Open-Source-Softwares auch ohne den Quellcode zu erkennen, zu bewerten und zu entfernen“, so Schott. Darüber hinaus wollen die Wissenschaftler Maßnahmen erforschen, die die Angriffsflächen minimieren und auch bei noch unbekannten Risiken wirksam sind.

    Fokus auf industrielle Praxis

    Durch die Kooperation mit SAP SE soll der praktische Einsatz der neu entwickelten Techniken im Vordergrund stehen. „Die langjährige Erfahrung und die herausragenden Leistungen von Professor Bodden und der Fachgruppe ‚Secure Software Engineering‘ im Bereich der Softwaresicherheit bieten hervorragende Voraussetzungen für den Projekterfolg“, zeigt sich Volkmar Lotz, Head of SAP Security Research, zuversichtlich. „Wir haben den richtigen Partner an der Seite, um die Wirksamkeit unserer Forschungsergebnisse auch in einer realen Umgebung zu testen. Das ist uns bei diesem Projekt besonders wichtig“, betont Schott abschließend.


    Contact for scientific information:

    M. Sc. Stefan Schott, Institut für Informatik der Universität Paderborn, E-Mail: stefan.schott@upb.de


    More information:

    http://www.upb.de


    Images

    Criteria of this press release:
    Journalists, Scientists and scholars
    Information technology
    transregional, national
    Cooperation agreements, Research projects
    German


     

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).