8. Juni 2018

Cebit 2018: Intelligente Massentests für mehr IT-Sicherheit

Bild der Pressemitteilung


Um ein ungesichertes Auto zu finden, reicht es oft, auf einem Parkplatz mehrere
Autotüren zu testen. Ähnlich gehen Cyberkriminelle vor, wenn sie an ein Programm
wahllos Eingaben aus Buchstaben, Zahlen und Sonderzeichen senden, um so eine
Sicherheitslücke zu finden. Um ihnen zuvorzukommen, entwickeln Informatiker des CISPA
Helmholtz-Zentrums i.G. Software, die dies effizienter tut. Innerhalb von Minuten erlernt
sie das Eingabeformat und produziert Millionen gültiger Programmeingaben; das dafür
notwendige Wissen extrahiert die Software automatisch aus den Programmen. Ihre
neuesten Werkzeuge stellen die Forscher ab dem 11. Juni in Hannover auf der
Computermesse Cebit in Halle 27 an Stand F68 vor.

„Moderne Programme können sehr schnell sehr viele Tests generieren. Doch die Spreu trennt
sich vom Weizen, wenn es darum geht, gültige Eingaben zu erstellen, die tief in das
Zielprogramm vordringen”, erklärt Professor Andreas Zeller, der an der Universität des
Saarlandes Softwaretechnik lehrt und am CISPA Helmholtz-Zentrum i.G. forscht.

Mit seinen Doktoranden hat er daher das Programm „Autogram“ entwickelt. Es erkennt
automatisch die Regeln, die für die Eingaben gelten müssen, damit diese als gültig akzeptiert
werden. Die Informatiker bezeichnen diese Regeln zusammenfassend als „kontextfreie
Grammatik“. Diese wiederum verarbeitet „tribble“, eine weitere Software der Saarbrücker
Informatiker, und erzeugt so Millionen von zufälligen, aber gültigen Eingaben für das zu
untersuchende Softwaresystem. „Damit können wir das Softwaresystem auf Herz und Nieren
prüfen“, erläutert Zeller. Die Vielzahl der getesteten Eingaben verringere die
Wahrscheinlichkeit erheblich, eine Sicherheitslücke zu übersehen. Neu und weltweit
einmalig: Das Saarbrücker Testsystem braucht hierfür nichts als das zu testende Programm,
während die Konkurrenz auf umfassende Beispieleingaben angewiesen ist.

„Unsere Werkzeuge Autogram und tribble weisen damit in eine Zukunft, in der voll
automatisiertes Testen auf Sicherheitslücken für jedes Programm möglich ist, das
Eingabedaten verarbeitet“, sagt Zeller. Bereits 2012 hat sein Lehrstuhl den auf Grammatiken
basierenden Testgenerator „Langfuzz“ für die Programmiersprache JavaScript vorgestellt.
Inzwischen ist er täglich im Einsatz bei Unternehmen wie Mozilla und Google und hat in den
Webbrowsern Firefox und Chrome mehrere Tausend Fehler und Sicherheitslücken gefunden.