BMBF genehmigt das Projekt SoftSCheck
Im Rahmen des 15 Monate laufenden Projekts werden über 100 weltweit verfügbare Tools zum Threat Modeling und Fuzzing hinsichtlich ihrer Eignung für den Softwaretest insbesondere in der Softwareindustrie überprüft und bewertet.
Softwarehersteller werden damit in die Lage versetzt, Software-Design und Software-Tests wirkungsvoller und kostengünstiger mit den für ihre Aufgabenstellung geeigneten Tools durchzuführen und dadurch die Software sicherer zu machen: Mit Hilfe dieser Tools lassen sich bisher nicht erkannte Fehler und Sicherheitslücken erkennen.
Software kann nicht fehlerfrei erstellt werden. Trotz umfangreicher Tests sind sporadische Betriebsausfälle (Business Continuity) und unbeabsichtigter Datenabfluss die häufigsten Folgen sicherheitsrelevanter Fehler in Software und führen zu hohen Umsatzausfällen und zu Datenschutzproblemen. Und sie ermöglichen Computerspionage. Aus dieser Erkenntnis resultiert auch der komplett Projektname Rapid in-depth Analysis of Software-Vulnerabilities. Die beiden folgenden Verfahren können Tool-gestützt zur Entdeckung bisher nicht erkannter Programmfehler und Sicherheitslücken eingesetzt werden:
Threat Modeling unterstützt als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Architektur bereits in der Design-Phase. So können Fehler und insbesondere sicherheitsrelevante Fehler (Sicherheitslücken, Design Flaws, Angriffspunkte) identifiziert, bewertet und anschließend korrigiert werden. Dazu werden die Eingabeschnittstellen (attack surface) systematisch auf mögliche Angriffsmöglichkeiten untersucht.
Beim Fuzzing werden die Eingabeschnittstellen zu testender Programme mit (mehr oder weniger) zufälligen – oder auch zielgerichteten – Daten versorgt, um durch die Analyse undokumentierter und damit ungewollter Reaktionen des Programms, Programmierfehler und Sicherheitslücken zu erkennen. Dazu muss der Quellcode nicht offen vorliegen (black box Test). Die Qualität von Fuzzern hängt wesentlich von der Menge der zum Test eingesetzten Daten und der Qualität der erzeugten Eingabedaten ab.
Kooperationspartner im Projekt sind unter anderem die Gesellschaft für Informatik zusammen mit ihrer Schulungstochter Deutsche Informatik-Akademie (DIA), Microsoft Deutschland, SAP und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).
Ansprechpartner:
Prof. Dr. Hartmut Pohl
Hochschule Bonn-Rhein-Sieg
Fachbereich Informatik
Tel. 02241/865-204
E-Mail: hartmut.pohl@h-brs.de
Peter Sakal
Hochschule Bonn-Rhein-Sieg
Fachbereich Informatik
Tel. 02241/865-275
E-Mail: peter.sakal@h-brs.de
Media Contact
Weitere Informationen:
http://www.hochschule-bonn-rhein-sieg.deAlle Nachrichten aus der Kategorie: Informationstechnologie
Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.
Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.
Neueste Beiträge
Neue universelle lichtbasierte Technik zur Kontrolle der Talpolarisation
Ein internationales Forscherteam berichtet in Nature über eine neue Methode, mit der zum ersten Mal die Talpolarisation in zentrosymmetrischen Bulk-Materialien auf eine nicht materialspezifische Weise erreicht wird. Diese „universelle Technik“…
Tumorzellen hebeln das Immunsystem früh aus
Neu entdeckter Mechanismus könnte Krebs-Immuntherapien deutlich verbessern. Tumore verhindern aktiv, dass sich Immunantworten durch sogenannte zytotoxische T-Zellen bilden, die den Krebs bekämpfen könnten. Wie das genau geschieht, beschreiben jetzt erstmals…
Immunzellen in den Startlöchern: „Allzeit bereit“ ist harte Arbeit
Wenn Krankheitserreger in den Körper eindringen, muss das Immunsystem sofort reagieren und eine Infektion verhindern oder eindämmen. Doch wie halten sich unsere Abwehrzellen bereit, wenn kein Angreifer in Sicht ist?…
