Play
Bild: whiteMocca | Shutterstock | whiteMocca | Shutterstock

Forschungsquartett | Fuzzing

Automatisiertes Software-Testing für digitale Sicherheit

Sicherheitslücken in Computerprogrammen sind riskant. Mit Fuzzing sollen sie entdeckt werden, bevor sie Schaden anrichten können. Doch die Methode ist aufwendig — bis jetzt. Prof. Andreas Zeller vom CISPA in Saarbrücken will das ändern.

Das Forschungsquartett — in Kooperation mit dem CISPA Helmholtz-Zentrum für Informationssicherheit

Software-Testing mit Fuzzing

Nicht selten gibt es Meldungen über Sicherheitslücken und Programmfehler von IT-Softwares — und oft atmen wir erst einmal auf, wenn es uns auf den ersten Blick nicht betrifft. Aber spätestens, wenn Cyberkriminelle auf persönliche Daten zugreifen oder sich in sicherheitskritische Infrastruktur wie Krankenhäuser oder Stromnetze hacken, wird die Bedrohung real und die Bedeutung von Software-Sicherheit deutlich. Die zunehmende Digitalisierung verstärkt die Bedrohung im Cyberraum zusätzlich. Um die Gefahren einzudämmen, ist es notwendig, mögliche Programmfehler und Sicherheitslücken in Computerprogrammen auszumachen, bevor sie Schaden anrichten. Das funktioniert mit dem sogenannten „Fuzzing“ — einer Methode, um Software automatisiert zu testen, indem ein Programm mit zufälligen, unerwarteten oder fehlerhaften Eingaben gefüttert wird, um Schwachstellen oder Sicherheitslücken aufzudecken.

Ein jeder, der ein Programm veröffentlicht, sollte vorher einen Fuzzer darüber laufen lassen, um sicherzugehen, dass das Programm auch wirklich gesichert ist — gegen Zufallsdaten und auch gegen gängige Angriffe.

Andreas Zeller, CISPA-Faculty und Professor für Softwaretechnik an der Universität des Saarlandes

Andreas Zeller, CISPA-Faculty und Professor für Softwaretechnik an der Universität des SaarlandesFoto: privat

 

Optimierung des Verfahrens

Das Problem: Fuzzing ist derzeit noch aufwendig und teuer, da die Fuzzer auf das zu testende Programm angepasst werden müssen.  Um das zu ändern, hat Prof. Andreas Zeller das Projekt „S3 — Semantics of Software Systems“ ins Leben gerufen. Seine Vision: Fuzzing weiter zu optimieren, damit jede Software der Welt ganz automatisch getestet werden kann.

Ich muss nicht mehr als Mensch meine Tests schreiben, sondern ich habe einen Fuzzer, der automatisch immer wieder neue Eingaben für mein Programm erzeugt und möglicherweise sogar noch prüft, ob das Verhalten meines Programms das richtige ist.

Andreas Zeller, CISPA-Faculty und Professor für Softwaretechnik an der Universität des Saarlandes

 

Wie weit sind wir von der Vision einer automatischen Sicherheitsprüfung im Cyberraum entfernt? Wo setzt die Forschung an, um Fuzzing weiter zu automatisieren? Und welche praktischen Anwendungen gibt es? Darüber hat detektor.fm-Redakteur Stephan Ziegert im „Forschungsquartett“ mit Prof. Andreas Zeller gesprochen. Zeller ist Faculty am CISPA Helmholtz-Zentrum für Informationssicherheit und Professor für Softwaretechnik an der Universität des Saarlandes.

Volles Programm, (aber) null Banner-Werbung

Seit 2009 arbeiten wir bei detektor.fm an der digitalen Zukunft des Radios in Deutschland. Mit unserem Podcast-Radio wollen wir dir authentische Geschichten und hochwertige Inhalte bieten. Du möchtest unsere Themen ohne Banner entdecken? Dann melde dich einmalig an — eingeloggt bekommst du keine Banner-Werbung mehr angezeigt. Danke!

detektor.fm unterstützen

Weg mit der Banner-Werbung?

Als kostenlos zugängliches, unabhängiges Podcast-Radio brauchen wir eure Unterstützung! Die einfachste Form ist eine Anmeldung mit euer Mailadresse auf unserer Webseite. Eingeloggt blenden wir für euch die Bannerwerbung aus. Ihr helft uns schon mit der Anmeldung, das Podcast-Radio detektor.fm weiterzuentwickeln und noch besser zu werden.

Unterstützt uns, in dem ihr euch anmeldet!

Ja, ich will!

Ihr entscheidet!

Keine Lust auf Werbung und Tracking? Dann loggt euch einmalig mit eurer Mailadresse ein. Dann bekommt ihr unsere Inhalte ohne Bannerwerbung.

Einloggen