- Anzeigen -


Softwareanalyse durchleuchtet Code eines Programms


Gängige Softwarezertifikate bescheinigen die Vertrauenswürdigkeit des Herstellers: Mit "Joana" können ergänzend das tatsächliche Verhalten eines Programms überprüft werden
"Joana" überprüft sämtliche Datenkanäle einer Software, durch die Informationen fließen, und findet dadurch die Sicherheitslücken

(31.07.14) - Vertrauen ist gut, Kontrolle ist besser – auch bei der Sicherheit von Computerprogrammen. Statt sich auf "Ausweispapiere" in Form von Zertifikaten zu verlassen, durchleuchtet die neue Softwareanalyse "Joana" den Quelltext (Code) eines Programms. Auf diese Weise spürt sie die Lecks auf, über die geheime Informationen nach außen gelangen oder Fremde von außen in das System eindringen können. Gleichzeitig reduziert Joana die Zahl der Fehlalarme auf ein Minimum. Das am Karlsruher Institut für Technologie (KIT) entwickelte Analysewerkzeug hat sich bereits in realistischen Testszenarien bewährt. Als Nächstes ist eine industrielle Fallstudie geplant.

"Gängige Softwarezertifikate bescheinigen die Vertrauenswürdigkeit des Herstellers. Mit Joana können wir ergänzend das tatsächliche Verhalten eines Programms überprüfen", sagt Gregor Snelting, der das Analysewerkzeug mit seiner Forschergruppe am Lehrstuhl Programmierparadigmen des KIT entwickelt hat. Das sei deshalb so wichtig, weil die meisten Schwachstellen auf unbeabsichtigte Programmierfehler zurückgingen. Im Fokus der Wissenschaftler stehen derzeit mobile Anwendungen für Android-Smartphones. Prinzipiell können sie aber fast alle Programme testen, die in den gängigen Sprachen Java, C oder C++ geschrieben sind. Zunächst sollen Softwareunternehmen ihre Produkte prüfen lassen können, bevor sie damit an den Markt gehen. Da derzeit noch Fachleute das Einrichten und Bedienen übernehmen müssen, ist Joana für private Nutzer weniger geeignet.


Joana überprüft sämtliche Datenkanäle einer Software, durch die Informationen fließen, und findet dadurch die Sicherheitslücken. "Wir unterscheiden zwischen öffentlich sichtbaren Kanälen, die beispielsweise die Nutzeroberfläche abbilden, und geschützten Kanälen, auf die Anwender nicht zugreifen können", erklärt Snelting. "Für die Sicherheit von geheimen Informationen, wie Passwörtern oder Kontonummern, ist entscheidend, dass sie ausschließlich in geschützten Kanälen befördert werden." Wo sich geheime und öffentliche Datenströme kreuzten, sei ein Informationsaustausch prinzipiell möglich und so bestehe Gefahr, dass sensible Informationen weitergegeben würden.

Die Wissenschaftler unterscheiden mehrere Sicherheitslücken: So können beispielsweise direkt lesbare Kopien sensibler Daten nach außen gelangen (explizites Leck) oder nur die Muster, nach denen sie verschlüsselt sind (implizites Leck). Problematisch ist auch, wenn sich geheime Passwörter auf die wahrscheinliche Reihenfolge sichtbarer Informationsflüsse auswirken (probabilistisches Leck) – und daraus rekonstruierbar sind. Ein vereinfachtes Beispiel: Der Befehl ein "rotes L" zu drucken erreicht einen Drucker zeitgleich mit dem geheimen Passwort für die Zugriffsberechtigung. Lautet das Passwort AB, kommt die Information "L" in den meisten Fällen kurz vor der Information "rot" an. Lautet das Passwort BA, ist es genau umgekehrt. Joana erkennt auch solche Sicherheitslücken zuverlässig, obwohl sie schwerer zu identifizieren sind.

"Mindestens ebenso wichtig, wie alle Sicherheitslücken zu finden, ist es, möglichst wenig Fehlalarme zu produzieren", sagt Snelting. Viele Fehlalarme führten zu einem massiv erhöhten Prüfaufwand oder dazu, dass Alarme ignoriert würden. Joana reduziert die Zahl der Fehlalarme für alle Sicherheitslücken – auch für probabilistische Lecks. Die KIT-Wissenschaftler haben dafür eine neue Rechenmethode entwickelt (Relaxed Low-Security Oberservational Determinism), die nur an sicherheitskritischen Stellen eine feste Reihenfolge für beobachtbare Prozessschritte vorschreibt. Im obigen Beispiel hieße das, die Information "rot" muss den Drucker immer vor der Information "L" erreichen, unabhängig vom Passwort. "Die Herausforderung war, sicherheitsirrelevante Prozesse von solch strikten Vorgaben auszunehmen", so Snelting. Andernfalls stiege entweder die Zahl der Fehlalarme, weil jede Abweichung als gefährlich eingestuft würde, oder die Ausführungen eines Programms müssten so massiv beschränkt werden, dass es praktisch nicht mehr nutzbar sei.

Joana ist bislang weltweit das einzige Softwareanalysewerkzeug, das nicht nur alle Sicherheitslücken findet, sondern auch die Zahl der Fehlalarme minimiert, ohne die Funktionsfähigkeit von Programmen zu beeinträchtigen. Gefördert von der Deutschen Forschungsgemeinschaft haben die KIT-Wissenschaftler rund zwanzig Jahre auf diesem Gebiet geforscht. "Längerfristig könnte mit Joana geprüfte Software ein neuartiges Zertifikat erhalten, das die Sicherheit des Programmcodes bescheinigt", sagt Snelting. (Karlsruher Institut für Technologie, KIT: ra)

KIT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Sonstige Security-Lösungen

  • Drittanbieter-Tracking bremst Internetnutzung

    Wer Tracking-Schutz nutzt, kann die Zeiten für das Laden von Internetseiten verringern - in manchen Fällen sogar um bis zu 89 Prozent. Dies ist das Ergebnis einer neuen Studie von F-Secure. Die Ergebnisse machen deutlich, in welchem Umfang Drittanbieter-Cookies heute bei Websites aktiv sind. Ohne angemessene Gegenmaßnahmen kann diese "digitale Verschmutzung" das Web-Browsing zu einer Geduldsprobe machen und Kunden werden gezwungen, dass ohne ihre Zustimmung Daten genutzt werden.

  • Gaming-Applikationen & Cybercrime-Angriffe

    Die Sicherheitslösungen zum Schutz mobiler Gaming-Apps von Arxan Technologies, der Spezialistin für Integritätsschutz von Applikationen, unterstützen ab sofort alle gängigen mobilen Plattformen wie Android, iOS, Windows Phone etc. Die Gaming-Industrie zeigt ein großes Produktivitätspotenzial - insbesondere im mobilen Bereich, zieht aber auch Hacker und Cyberkriminalität an. Mittels Arxans patentierter Sicherheitstechnologie kann der sensible Binärcode einer mobilen Gaming-Applikation jedoch vor Angriffen und unautorisierter Manipulation geschützt werden. Mehrschichtige Schutzmaßnahmen sorgen dafür, dass Reverse Engineering und Tampering wirksam abgewehrt werden.

  • Mit Elliptischer-Kurven-Kryptographie

    Industrieanlagen, medizinische Geräte oder elektronische Bauteile können mit "Embedded Security"-Lösungen der Infineon Technologies AG effizient vor Nachahmung geschützt werden. Denn Produktpiraterie und Know-how-Diebstahl verursachen laut OECD einen wirtschaftlichen Schaden von rund 638 Milliarden US-Dollar jährlich. Die neue "Optiga Trust E"-Sicherheitslösung von Infineon ist einfach in die Produkte zu integrieren und schützt geistiges Eigentum davor, angegriffen, analysiert, kopiert oder manipuliert zu werden.

  • Komplett gesichertes Smartphone

    Das Smartphone mit vorinstallierter "Cryptosmart-Mobile Suite" arbeitet mit einem leistungsstarken Octa-Core-Prozessor mit 1.7GHz, der selbst anspruchsvolle Business-Applikationen zum Laufen bringt. Als Betriebssystem steht Android 5.0 zur Verfügung. Das integrierte 4G LTE-Modul ermöglicht blitzschnellen Zugang zu mobilen Daten und die GPS-Schnittstelle liefert präzise Auskunft für Navigations- und andere Geoortungs-Apps.

  • Toolbars sind nicht bösartig an sich

    Avast Software hat mit "Avast Browser Cleanup" in den vergangenen zwei Jahren mehr als 60 Millionen verschiedene Browser-Add-Ons identifiziert und mehr als 650 Millionen Add-Ons von Browsern weltweit entfernt. Bislang als Funktion in "Avast Free Antivirus" enthalten, ist Avast Browser Cleanup jetzt kostenlos als eigenständiges Produkt verfügbar. Avast hat die Technologie zum Patent angemeldet. Browser-Add-Ons, die häufig als Toolbar auftreten, installieren sich oft unerwünscht im Browser, verändern die Sucheinstellungen des Nutzers und lassen sich nur schwer wieder deinstallieren. Avast Browser Cleanup entfernt unerwünschte Toolbars von Google Chrome, Mozilla Firefox und Internet Explorer und lässt Nutzer ihre bevorzugte Suchmaschine wieder als Startseite einrichten.