Neue Methode zum Nachweis von Softwarediebstahl

Moderne Software setzt sich aus vielen Bausteinen zusammen, was sie anfällig für Diebstahl durch Softwareentwickler macht. Die an Anwender ausgelieferten Programme, oder nur Teile davon, können leicht von einem Programmierer in die eigene Software eingefügt werden. Trotzdem ist eine solche Urheberrechtsverletzung vor Gericht äussert schwierig nachzuweisen.

Die neue Methode, die der Informatiker David Schuler an der Universität des Saarlandes entwickelt hat, räumt Herstellern von Software bessere Chancen vor Gericht ein. Vermutet ein Hersteller einen Diebstahl, lässt er seine und die fremde Software mit Schulers Werkzeug API BIRTHMARK ausführen. Als Ergebnis kann er sehen, ob die beiden Programme übereinstimmen. Ist die Übereinstimmung hoch, lässt das einen Diebstahl vermuten und rechtfertigt weitere Untersuchungen.

Das Besondere von API BIRTHMARK ist, dass es das Verhalten, aber nicht die Form einer Software bewertet. Diese lässt sich nämlich leicht verschleiern, um einen Diebstahl zu vertuschen. Werkzeuge zur Verschleierung, sogenannte Obfuskatoren, sind frei im Internet erhältlich. Wie ein Geburtsmerkmal (engl.: birthmark) ist das Verhalten eines Programmes dagegen nur schwer zu verändern, ohne es zu zerstören. David Schuler und seine Ko-Autoren Valentin Dallmeier und Christian Lindig haben gezeigt, dass die Geburtsmerkmale für Java-Programme zuverlässig erkannt werden können und immun gegen die besten Verschleierungsmethoden sind. Dies hat auch das Programmkommitee der internationalen Konferenz Automated Software Engineering 2007 in Atlanta (USA) überzeugt, wo David Schuler API BIRTHMARK erstmals im November vorstellen wird. Sein Beitrag A Dynamic Birthmark for Java wurde aus 312 Einreichungen zusammen mit nur 36 weiteren Beiträgen für die Veröffentlichung auf der Konferenz akzeptiert.

David Schuler, Valentin Dallmeier und Dr. Christian Lindig sind wissenschaftliche Mitarbeiter am Lehrstuhl für Softwaretechnik von Prof. Dr. Andreas Zeller an der Universität des Saarlandes. Das Forscher-Team entwickelt statistische Verfahren zur Programmanalyse und Fehlersuche, wofür API BIRTHMARK ein Beispiel ist. Außerdem analysieren die Wissenschaftler die Entwicklungsgeschichte von Software, um Fehler vorherzusagen und von vornherein zu vermeiden. Prof. Zeller hat hierbei als erster systematisch die Fehlerdatenbank von Microsoft untersucht, um fehlerträchtige Programmteile vorherzusagen – die dann von Microsoft besonders gründlich getestet werden.

Informationen über API BIRTHMARK: http://www.st.cs.uni-sb.de/birthmarking/
Informationen zur Konferenz „Automated Software Engineering 2007“ in Atlanta (USA): http://www.cse.msu.edu/ase2007/
Lehrstuhl für Softwaretechnik: http://www.st.cs.uni-sb.de/
Vorabversion von A Dynamic Birthmark for Java: http://www.st.cs.uni-sb.de/~lindig/papers/schuler-ase-2007.pdf

Fragen beantwortet Ihnen:

Prof. Dr. Andreas Zeller
Tel. 0681/302-64011
Friederike Meyer zu Tittingdorf
Tel. 0681/302-58099