Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Autokorrektur für Software-Entwickler

07.03.2014

Fraunhofer SIT veröffentlicht Schwachstellen-Scanner für Android – CeBIT 2014: Neue Werkzeuge ermöglichen Security-by-Design

Das Fraunhofer-Institut für Sichere Informationstechnologie hat einen Schwachstellen-Scanner für Android veröffentlicht, mit dem App-Entwickler SSL-Sicherheitslücken automatisch finden und schließen können.


Heutige Software ist so komplex, dass sich Programmierfehler kaum vermeiden lassen. Diese sind Ursache für viele Sicherheitslücken.

Fraunhofer SIT

Die Software ist ein Ergebnis aus dem vom Bundesministerium für Bildung und Forschung geförderten European Center for Security and Privacy by Design (EC SPRIDE) in Darmstadt.

Dort entstanden neue Testwerkzeuge für Android- und Java-Code, die sich direkt in die Entwicklungsumgebung integrieren lassen und neue Analyseverfahren nutzen. Diese ermöglichen es, auch schwer zu findende Fehler im Programm-Code äußerst schnell ausfindig zu machen. Werkzeuge und Verfahren stellt das Fraunhofer-Institut vom 10. bis zum 14. März auf der CeBIT in Hannover vor (Halle 9, Stand E40).

Viele Sicherheitslücken entstehen durch einfache Programmierfehler, die sich aufgrund der Komplexität heutiger Software-Produkte kaum vermeiden lassen. Oft besteht eine Software aus vielen Programm-Teilen, die von ganz unterschiedlichen Programmierern geschrieben wurden. Das Zusammenspiel der verschiedenen Teile ist für Menschen schon längst nur noch schwer nachvollziehbar.

Deshalb nutzen Software-Unternehmen heute Testwerkzeuge, mit denen sich Programmcode automatisch prüfen lässt. Herkömmliche Schwachstellen-Scanner, die man auf dem eigenen Rechner betreiben kann, finden jedoch nur einfache Fehler. Um komplexere Sicherheitslücken im Programm-Code aufzuspüren, mussten Software-Unternehmen bislang den eigenen Code zum Beispiel von teuren Testdiensten aus Übersee analysieren lassen. Die Ergebnisse erhalten die Unternehmen jedoch erst zeitverzögert, wenn die Entwickler vielleicht schon mit ganz anderen Dingen beschäftigt sind.

Prof. Dr. Eric Bodden vom Fraunhofer SIT und sein Team am Cybersicherheitszentrum EC SPRIDE haben deshalb effiziente Analyse-Verfahren entwickelt und in Testwerkzeuge integriert. Diese neuen Schwachstellen-Scanner lassen sich auf einfachen Computern betreiben, aber sie sind mächtiger als die teuren Analysedienste und finden mehr komplexe Fehler in kürzerer Zeit.

Die CodeScan-Werkzeuge der Darmstädter Forscher liefern die Ergebnisse zum Teil schon in Millisekunden. Möglich machen das neue Analyse-Verfahren, die auch komplexe Wechselwirkungen im Code schnell prüfen können.

„Sichere Software-Entwicklung ist wie ein Labyrinth“, sagt Bodden, „es ist ganz leicht falsch abzubiegen, aber sehr schwer, den richtigen Weg zu finden. Deshalb nutzen die Unternehmen Testwerkzeuge, um möglichst schnell zum Ziel zu kommen. Mit herkömmlichen Testwerkzeugen können Entwickler aber gerade mal um die nächste Ecke schauen. Mit unseren Tools blicken sie zehn Ecken voraus.“ Die Analyseverfahren lassen sich auf unterschiedliche Programmiersprachen anwenden und auch für bestimmte Aufgaben optimieren.

Das aktuelle Analysewerkzeug unterstützt beispielsweise hochkomplexe Datenflussanalysen. Ein einfacheres, aber in der Praxis sehr relevantes Beispiel ist der jetzt veröffentlichte Scanner für SSL-Schwachstellen. Dabei handelt es sich um ein Eclipse-Plug-In, das Programmierer problemlos in typische Entwicklungsumgebungen integrieren können. Das Testwerkzeug hilft App-Entwicklern dabei, fehlerhafte Verwendungen des Secure Socket Layer-Protokolls (SSL) in Android Code zu finden und kann als Open-Source-Software kostenlos genutzt werden. Wie groß das SSL-Problem für Apps ist, zeigte sich im vergangenen Jahr, als das Fraunhofer SIT entsprechende Fehler in zahlreichen Apps entdeckte, die für die Nutzer zum Teil mit großen Risiken verbunden waren.

Die Software ist im Internet kostenlos unter

https://sit.sit.fraunhofer.de/eclipse/howto-ssl/

herunterladbar.

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Sicheres Bezahlen ohne Datenspur
17.10.2017 | Karlsruher Institut für Technologie

nachricht Saarbrücker Forscher erstellen digitale Objekte aus unvollständigen 3-D-Daten
12.10.2017 | Universität des Saarlandes

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Hochfeldmagnet am BER II: Einblick in eine versteckte Ordnung

Seit dreißig Jahren gibt eine bestimmte Uranverbindung der Forschung Rätsel auf. Obwohl die Kristallstruktur einfach ist, versteht niemand, was beim Abkühlen unter eine bestimmte Temperatur genau passiert. Offenbar entsteht eine so genannte „versteckte Ordnung“, deren Natur völlig unklar ist. Nun haben Physiker erstmals diese versteckte Ordnung näher charakterisiert und auf mikroskopischer Skala untersucht. Dazu nutzten sie den Hochfeldmagneten am HZB, der Neutronenexperimente unter extrem hohen magnetischen Feldern ermöglicht.

Kristalle aus den Elementen Uran, Ruthenium, Rhodium und Silizium haben eine geometrisch einfache Struktur und sollten keine Geheimnisse mehr bergen. Doch das...

Im Focus: Schmetterlingsflügel inspiriert Photovoltaik: Absorption lässt sich um bis zu 200 Prozent steigern

Sonnenlicht, das von Solarzellen reflektiert wird, geht als ungenutzte Energie verloren. Die Flügel des Schmetterlings „Gewöhnliche Rose“ (Pachliopta aristolochiae) zeichnen sich durch Nanostrukturen aus, kleinste Löcher, die Licht über ein breites Spektrum deutlich besser absorbieren als glatte Oberflächen. Forschern am Karlsruher Institut für Technologie (KIT) ist es nun gelungen, diese Nanostrukturen auf Solarzellen zu übertragen und deren Licht-Absorptionsrate so um bis zu 200 Prozent zu steigern. Ihre Ergebnisse veröffentlichten die Wissenschaftler nun im Fachmagazin Science Advances. DOI: 10.1126/sciadv.1700232

„Der von uns untersuchte Schmetterling hat eine augenscheinliche Besonderheit: Er ist extrem dunkelschwarz. Das liegt daran, dass er für eine optimale...

Im Focus: Schnelle individualisierte Therapiewahl durch Sortierung von Biomolekülen und Zellen mit Licht

Im Blut zirkulierende Biomoleküle und Zellen sind Träger diagnostischer Information, deren Analyse hochwirksame, individuelle Therapien ermöglichen. Um diese Information zu erschließen, haben Wissenschaftler des Fraunhofer-Instituts für Lasertechnik ILT ein Mikrochip-basiertes Diagnosegerät entwickelt: Der »AnaLighter« analysiert und sortiert klinisch relevante Biomoleküle und Zellen in einer Blutprobe mit Licht. Dadurch können Frühdiagnosen beispielsweise von Tumor- sowie Herz-Kreislauf-Erkrankungen gestellt und patientenindividuelle Therapien eingeleitet werden. Experten des Fraunhofer ILT stellen diese Technologie vom 13.–16. November auf der COMPAMED 2017 in Düsseldorf vor.

Der »AnaLighter« ist ein kompaktes Diagnosegerät zum Sortieren von Zellen und Biomolekülen. Sein technologischer Kern basiert auf einem optisch schaltbaren...

Im Focus: Neue Möglichkeiten für die Immuntherapie beim Lungenkrebs entdeckt

Eine gemeinsame Studie der Universität Bern und des Inselspitals Bern zeigt, dass spezielle Bindegewebszellen, die in normalen Blutgefässen die Wände abdichten, bei Lungenkrebs nicht mehr richtig funktionieren. Zusätzlich unterdrücken sie die immunologische Bekämpfung des Tumors. Die Resultate legen nahe, dass diese Zellen ein neues Ziel für die Immuntherapie gegen Lungenkarzinome sein könnten.

Lungenkarzinome sind die häufigste Krebsform weltweit. Jährlich werden 1.8 Millionen Neudiagnosen gestellt; und 2016 starben 1.6 Millionen Menschen an der...

Im Focus: Sicheres Bezahlen ohne Datenspur

Ob als Smartphone-App für die Fahrkarte im Nahverkehr, als Geldwertkarten für das Schwimmbad oder in Form einer Bonuskarte für den Supermarkt: Für viele gehören „elektronische Geldbörsen“ längst zum Alltag. Doch vielen Kunden ist nicht klar, dass sie mit der Nutzung dieser Angebote weitestgehend auf ihre Privatsphäre verzichten. Am Karlsruher Institut für Technologie (KIT) entsteht ein sicheres und anonymes System, das gleichzeitig Alltagstauglichkeit verspricht. Es wird nun auf der Konferenz ACM CCS 2017 in den USA vorgestellt.

Es ist vor allem das fehlende Problembewusstsein, das den Informatiker Andy Rupp von der Arbeitsgruppe „Kryptographie und Sicherheit“ am KIT immer wieder...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Das Immunsystem in Extremsituationen

19.10.2017 | Veranstaltungen

Die jungen forschungsstarken Unis Europas tagen in Ulm - YERUN Tagung in Ulm

19.10.2017 | Veranstaltungen

Bauphysiktagung der TU Kaiserslautern befasst sich mit energieeffizienten Gebäuden

19.10.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Forscher finden Hinweise auf verknotete Chromosomen im Erbgut

20.10.2017 | Biowissenschaften Chemie

Saugmaschinen machen Waschwässer von Binnenschiffen sauberer

20.10.2017 | Ökologie Umwelt- Naturschutz

Strukturbiologieforschung in Berlin: DFG bewilligt Mittel für neue Hochleistungsmikroskope

20.10.2017 | Förderungen Preise