Direkt zum Inhalt
Kontakt
Teilen

Kontakt

Sie haben Fragen, Wünsche oder Anregungen?
Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.

News 25.04.2019

Fuzzing: Kampf gegen Softwarefehler

RUB-Forscher arbeiten an Technik zum Aufspüren von Programmierfehlern

Programmierfehler in Software sind keine Seltenheit; regelmäßig verschaffen sich Angreifer über solche Schwachstellen Kontrolle über die Programme. Das Team am Lehrstuhl für Systemsicherheit der Ruhr-Universität Bochum arbeitet seit einigen Jahren an Tools, mit denen sich Schwachstellen im Programmcode automatisiert finden lassen.

„Wir nutzen dazu das sogenannte Fuzzing, eine Technik, die eigentlich schon seit den 1980er-Jahren bekannt ist, aber in den vergangenen fünf Jahren immens verbessert wurde“, erklärt Prof. Dr. Thorsten Holz, Leiter des Lehrstuhls. „Wir und andere Forschungsgruppen, aber auch die Industrie haben sie seither entscheidend weiterentwickelt.“ Fuzzer sind Algorithmen, die die zu testende Software mit zufälligen Inputs füttern und überprüfen, ob sie die Anwendung damit zum Absturz bringen können. Das Ziel ist dabei, durch variierte Inputs möglichst viel von dem Programmcode auszuführen und durch Beobachtung der jeweiligen Outputs für alle Code-Bestandteile zu prüfen, ob ein bestimmter Input sie zum Absturz bringt. Das würde auf Schwachstellen in der Programmierung hinweisen.

Gemeinsam mit seinen Doktoranden Sergej Schumilo und Cornelius Aschermann hat Prof. Holz in den vergangenen Jahren verschiedene Fuzzer entwickelt. Zu den getesteten Programmen gehören Programmiersprachen, Betriebssysteme und sogar die Virtualisierungslösungen, ohne die die Cloud nicht möglich wäre. In praktisch allen getesteten Anwendungen, darunter auch Windows und Linux, fanden die Forscher Fehler. Insgesamt waren es hunderte, wovon sie über 60 als sicherheitskritisch einstuften. „Der Fuzzer ist so erfolgreich im Finden von Fehlern, dass wir zusätzliche studentische Hilfskräfte einstellen mussten, um alle Fehler an die Entwickler melden zu können“, veranschaulicht Holz.

„Fuzzing wird seit einer Weile von Softwareentwicklern sehr stark genutzt und wird in Zukunft mit Sicherheit die Grundlage für die Software-Qualitätssicherung sein“, erklärt Thorsten Holz. Die Unternehmen haben daher durchaus Interesse an neuen effizienten Fuzzern, wie sie Sergej Schumilo und Cornelius Aschermann in ihren Doktorarbeiten entwickelt haben. Die beiden Nachwuchsforscher planen derzeit, mithilfe des Gründungsinkubators „Cube 5“ an der RUB, ein Start-up auf die Beine zu stellen, das kritische Softwaresysteme sicherer machen möchte. Parallel geht auch die Forschung am Lehrstuhl für Systemsicherheit weiter. Derzeit arbeitet das Team unter anderem an Schutzmechanismen, die das Fuzzing von Software verhindern sollen.

Weitere Informationen finden Sie hier.

Bleiben Sie informiert über die Vielfalt der digitalen Transformation in NRW.

Jetzt Wissensvorsprung sichern