Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Für sichere Software: Röntgen statt Passkontrolle

25.06.2014

Vertrauen ist gut, Kontrolle ist besser – auch bei der Sicherheit von Computerprogrammen.

Statt sich auf „Ausweispapiere“ in Form von Zertifikaten zu verlassen, durchleuchtet die neue Softwareanalyse JOANA den Quelltext (Code) eines Programms. Auf diese Weise spürt sie die Lecks auf, über die geheime Informationen nach außen gelangen oder Fremde von außen in das System eindringen können. Gleichzeitig reduziert JOANA die Zahl der Fehlalarme auf ein Minimum.

Das am Karlsruher Institut für Technologie (KIT) entwickelte Analysewerkzeug hat sich bereits in realistischen Testszenarien bewährt. Als Nächstes ist eine industrielle Fallstudie geplant.

„Gängige Softwarezertifikate bescheinigen die Vertrauenswürdigkeit des Herstellers. Mit JOANA können wir ergänzend das tatsächliche Verhalten eines Programms überprüfen“, sagt Gregor Snelting, der das Analysewerkzeug mit seiner Forschergruppe am Lehrstuhl Programmierparadigmen des KIT entwickelt hat. Das sei deshalb so wichtig, weil die meisten Schwachstellen auf unbeabsichtigte Programmierfehler zurückgingen.

Im Fokus der Wissenschaftler stehen derzeit mobile Anwendungen für Android-Smartphones. Prinzipiell können sie aber fast alle Programme testen, die in den gängigen Sprachen JAVA, C oder C++ geschrieben sind. Zunächst sollen Softwareunternehmen ihre Produkte prüfen lassen können, bevor sie damit an den Markt gehen. Da derzeit noch Fachleute das Einrichten und Bedienen übernehmen müssen, ist JOANA für private Nutzer weniger geeignet.

JOANA überprüft sämtliche Datenkanäle einer Software, durch die Informationen fließen, und findet dadurch die Sicherheitslücken. „Wir unterscheiden zwischen öffentlich sichtbaren Kanälen, die beispielsweise die Nutzeroberfläche abbilden, und geschützten Kanälen, auf die Anwender nicht zugreifen können“, erklärt Snelting. „Für die Sicherheit von geheimen Informationen, wie Passwörtern oder Kontonummern, ist entscheidend, dass sie ausschließlich in geschützten Kanälen befördert werden.“ Wo sich geheime und öffentliche Datenströme kreuzten, sei ein Informationsaustausch prinzipiell möglich und so bestehe Gefahr, dass sensible Informationen weitergegeben würden.

Die Wissenschaftler unterscheiden mehrere Sicherheitslücken: So können beispielsweise direkt lesbare Kopien sensibler Daten nach außen gelangen (explizites Leck) oder nur die Muster, nach denen sie verschlüsselt sind (implizites Leck). Problematisch ist auch, wenn sich geheime Passwörter auf die wahrscheinliche Reihenfolge sichtbarer Informationsflüsse auswirken (probabilistisches Leck) – und daraus rekonstruierbar sind. Ein vereinfachtes Beispiel: Der Befehl ein „rotes L“ zu drucken erreicht einen Drucker zeitgleich mit dem geheimen Passwort für die Zugriffsberechtigung. Lautet das Passwort AB, kommt die Information „L“ in den meisten Fällen kurz vor der Information „rot“ an. Lautet das Passwort BA, ist es genau umgekehrt.. JOANA erkennt auch solche Sicherheitslücken zuverlässig, obwohl sie schwerer zu identifizieren sind.

„Mindestens ebenso wichtig, wie alle Sicherheitslücken zu finden, ist es, möglichst wenig Fehlalarme zu produzieren“, sagt Snelting. Viele Fehlalarme führten zu einem massiv erhöhten Prüfaufwand oder dazu, dass Alarme ignoriert würden. JOANA reduziert die Zahl der Fehlalarme für alle Sicherheitslücken – auch für probabilistische Lecks. Die KIT-Wissenschaftler haben dafür eine neue Rechenmethode entwickelt (Relaxed Low-Security Oberservational Determinism), die nur an sicherheitskritischen Stellen eine feste Reihenfolge für beobachtbare Prozessschritte vorschreibt. Im obigen Beispiel hieße das, die Information „rot“ muss den Drucker immer vor der Information „L“ erreichen, unabhängig vom Passwort. „Die Herausforderung war, sicherheitsirrelevante Prozesse von solch strikten Vorgaben auszunehmen“, so Snelting. Andernfalls stiege entweder die Zahl der Fehlalarme, weil jede Abweichung als gefährlich eingestuft würde, oder die Ausführungen eines Programms müssten so massiv beschränkt werden, dass es praktisch nicht mehr nutzbar sei.

JOANA ist bislang weltweit das einzige Softwareanalysewerkzeug, das nicht nur alle Sicherheitslücken findet, sondern auch die Zahl der Fehlalarme minimiert, ohne die Funktionsfähigkeit von Programmen zu beeinträchtigen. Gefördert von der Deutschen Forschungsgemeinschaft haben die KIT-Wissenschaftler rund zwanzig Jahre auf diesem Gebiet geforscht. „Längerfristig könnte mit JOANA geprüfte Software ein neuartiges Zertifikat erhalten, das die Sicherheit des Programmcodes bescheinigt“, sagt Snelting.

Für interessierte Fachleute steht JOANA als Open Source Software zum Download zur Verfügung: http://pp.ipd.kit.edu/projects/joana

Digitale Pressemappe zum Wissenschaftsjahr 2014

Ob in der Kommunikation, der Energieversorgung oder der Mobilität, in der Industrie, im Gesundheitsbereich oder in der Freizeit: Digitale Technologien sind längst Teil unseres Alltags, sie eröffnen neue Möglichkeiten und bieten Lösungen für gesellschaftliche Probleme. Gleichzeitig stellen sie uns vor Herausforderungen. Chancen und Risiken stehen im Mittelpunkt des Wissenschaftsjahres 2014 – Die Digitale Gesellschaft. Am KIT beschäftigen sich Forscherinnen und Forscher aller Disziplinen mit den vielfältigen – technischen und gesellschaftlichen – Aspekten der Digitalisierung. Kurzporträts, Presseinformationen und Videos dazu bietet die digitale Pressemappe des KIT zum Wissenschaftsjahr:
http://www.pkm.kit.edu/digitalegesellschaft

Das Karlsruher Institut für Technologie (KIT) ist eine Körperschaft des öffentlichen Rechts nach den Gesetzen des Landes Baden-Württemberg. Es nimmt sowohl die Mission einer Universität als auch die Mission eines nationalen Forschungszentrums in der Helmholtz-Gemeinschaft wahr. Thematische Schwerpunkte der Forschung sind Energie, natürliche und gebaute Umwelt sowie Gesellschaft und Technik, von fundamentalen Fragen bis zur Anwendung. Mit rund 9.400 Mitarbeiterinnen und Mitarbeitern, darunter knapp 6.000 in Wissenschaft und Lehre, sowie 24.000 Studierenden ist das KIT eine der größten Forschungs- und Lehreinrichtungen Europas. Das KIT verfolgt seine Aufgaben im Wissensdreieck Forschung – Lehre – Innovation.

Diese Presseinformation ist im Internet abrufbar unter: http://www.kit.edu

Monika Landgraf | idw - Informationsdienst Wissenschaft

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Smart Living: VDE-Institut entwickelt Cloud-basierte interoperable Testplattform
15.02.2017 | VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.

nachricht Saarbrücker Informatiker machen „Augmented Reality“ fotorealistisch
15.02.2017 | Universität des Saarlandes

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Mehr Sicherheit für Flugzeuge

Zwei Entwicklungen am Lehrgebiet Rechnerarchitektur der FernUniversität in Hagen können das Fliegen sicherer machen: ein Flugassistenzsystem, das bei einem totalen Triebwerksausfall zum Einsatz kommt, um den Piloten ein sicheres Gleiten zu einem Notlandeplatz zu ermöglichen, und ein Assistenzsystem für Segelflieger, das ihnen das Erreichen größerer Höhen erleichtert. Präsentiert werden sie von Prof. Dr.-Ing. Wolfram Schiffmann auf der Internationalen Fachmesse für Allgemeine Luftfahrt AERO vom 5. bis 8. April in Friedrichshafen.

Zwei Entwicklungen am Lehrgebiet Rechnerarchitektur der FernUniversität in Hagen können das Fliegen sicherer machen: ein Flugassistenzsystem, das bei einem...

Im Focus: HIGH-TOOL unterstützt Verkehrsplanung in Europa

Forschung am Karlsruher Institut für Technologie (KIT) unterstützt die Europäische Kommission bei der Verkehrsplanung: Anhand des neuen Modells HIGH-TOOL lässt sich bewerten, wie verkehrspolitische Maßnahmen langfristig auf Wirtschaft, Gesellschaft und Umwelt wirken. HIGH-TOOL ist ein frei zugängliches Modell mit Modulen für Demografie, Wirtschaft und Ressourcen, Fahrzeugbestand, Nachfrage im Personen- und Güterverkehr sowie Umwelt und Sicherheit. An dem nun erfolgreich abgeschlossenen EU-Projekt unter der Koordination des KIT waren acht Partner aus fünf Ländern beteiligt.

Forschung am Karlsruher Institut für Technologie (KIT) unterstützt die Europäische Kommission bei der Verkehrsplanung: Anhand des neuen Modells HIGH-TOOL lässt...

Im Focus: Zinn in der Photodiode: nächster Schritt zur optischen On-Chip-Datenübertragung

Schon lange suchen Wissenschaftler nach einer geeigneten Lösung, um optische Komponenten auf einem Computerchip zu integrieren. Doch Silizium und Germanium allein – die stoffliche Basis der Chip-Produktion – sind als Lichtquelle kaum geeignet. Jülicher Physiker haben nun gemeinsam mit internationalen Partnern eine Diode vorgestellt, die neben Silizium und Germanium zusätzlich Zinn enthält, um die optischen Eigenschaften zu verbessern. Das Besondere daran: Da alle Elemente der vierten Hauptgruppe angehören, sind sie mit der bestehenden Silizium-Technologie voll kompatibel.

Schon lange suchen Wissenschaftler nach einer geeigneten Lösung, um optische Komponenten auf einem Computerchip zu integrieren. Doch Silizium und Germanium...

Im Focus: Innovative Antikörper für die Tumortherapie

Immuntherapie mit Antikörpern stellt heute für viele Krebspatienten einen Erfolg versprechenden Ansatz dar. Weil aber längst nicht alle Patienten nachhaltig von diesen teuren Medikamenten profitieren, wird intensiv an deren Verbesserung gearbeitet. Forschern um Prof. Thomas Valerius an der Christian Albrechts Universität Kiel gelang es nun, innovative Antikörper mit verbesserter Wirkung zu entwickeln.

Immuntherapie mit Antikörpern stellt heute für viele Krebspatienten einen Erfolg versprechenden Ansatz dar. Weil aber längst nicht alle Patienten nachhaltig...

Im Focus: Durchbruch mit einer Kette aus Goldatomen

Einem internationalen Physikerteam mit Konstanzer Beteiligung gelang im Bereich der Nanophysik ein entscheidender Durchbruch zum besseren Verständnis des Wärmetransportes

Einem internationalen Physikerteam mit Konstanzer Beteiligung gelang im Bereich der Nanophysik ein entscheidender Durchbruch zum besseren Verständnis des...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

6. Internationale Fachkonferenz „InnoTesting“ am 23. und 24. Februar 2017 in Wildau

22.02.2017 | Veranstaltungen

Wunderwelt der Mikroben

22.02.2017 | Veranstaltungen

Der Lkw der Zukunft kommt ohne Fahrer aus

21.02.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Ursache für eine erbliche Muskelerkrankung entdeckt

22.02.2017 | Medizin Gesundheit

Möglicher Zell-Therapieansatz gegen Zytomegalie

22.02.2017 | Biowissenschaften Chemie

Meeresforschung in Echtzeit verfolgen

22.02.2017 | Geowissenschaften