Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Für sichere Software: Röntgen statt Passkontrolle

25.06.2014

Vertrauen ist gut, Kontrolle ist besser – auch bei der Sicherheit von Computerprogrammen.

Statt sich auf „Ausweispapiere“ in Form von Zertifikaten zu verlassen, durchleuchtet die neue Softwareanalyse JOANA den Quelltext (Code) eines Programms. Auf diese Weise spürt sie die Lecks auf, über die geheime Informationen nach außen gelangen oder Fremde von außen in das System eindringen können. Gleichzeitig reduziert JOANA die Zahl der Fehlalarme auf ein Minimum.

Das am Karlsruher Institut für Technologie (KIT) entwickelte Analysewerkzeug hat sich bereits in realistischen Testszenarien bewährt. Als Nächstes ist eine industrielle Fallstudie geplant.

„Gängige Softwarezertifikate bescheinigen die Vertrauenswürdigkeit des Herstellers. Mit JOANA können wir ergänzend das tatsächliche Verhalten eines Programms überprüfen“, sagt Gregor Snelting, der das Analysewerkzeug mit seiner Forschergruppe am Lehrstuhl Programmierparadigmen des KIT entwickelt hat. Das sei deshalb so wichtig, weil die meisten Schwachstellen auf unbeabsichtigte Programmierfehler zurückgingen.

Im Fokus der Wissenschaftler stehen derzeit mobile Anwendungen für Android-Smartphones. Prinzipiell können sie aber fast alle Programme testen, die in den gängigen Sprachen JAVA, C oder C++ geschrieben sind. Zunächst sollen Softwareunternehmen ihre Produkte prüfen lassen können, bevor sie damit an den Markt gehen. Da derzeit noch Fachleute das Einrichten und Bedienen übernehmen müssen, ist JOANA für private Nutzer weniger geeignet.

JOANA überprüft sämtliche Datenkanäle einer Software, durch die Informationen fließen, und findet dadurch die Sicherheitslücken. „Wir unterscheiden zwischen öffentlich sichtbaren Kanälen, die beispielsweise die Nutzeroberfläche abbilden, und geschützten Kanälen, auf die Anwender nicht zugreifen können“, erklärt Snelting. „Für die Sicherheit von geheimen Informationen, wie Passwörtern oder Kontonummern, ist entscheidend, dass sie ausschließlich in geschützten Kanälen befördert werden.“ Wo sich geheime und öffentliche Datenströme kreuzten, sei ein Informationsaustausch prinzipiell möglich und so bestehe Gefahr, dass sensible Informationen weitergegeben würden.

Die Wissenschaftler unterscheiden mehrere Sicherheitslücken: So können beispielsweise direkt lesbare Kopien sensibler Daten nach außen gelangen (explizites Leck) oder nur die Muster, nach denen sie verschlüsselt sind (implizites Leck). Problematisch ist auch, wenn sich geheime Passwörter auf die wahrscheinliche Reihenfolge sichtbarer Informationsflüsse auswirken (probabilistisches Leck) – und daraus rekonstruierbar sind. Ein vereinfachtes Beispiel: Der Befehl ein „rotes L“ zu drucken erreicht einen Drucker zeitgleich mit dem geheimen Passwort für die Zugriffsberechtigung. Lautet das Passwort AB, kommt die Information „L“ in den meisten Fällen kurz vor der Information „rot“ an. Lautet das Passwort BA, ist es genau umgekehrt.. JOANA erkennt auch solche Sicherheitslücken zuverlässig, obwohl sie schwerer zu identifizieren sind.

„Mindestens ebenso wichtig, wie alle Sicherheitslücken zu finden, ist es, möglichst wenig Fehlalarme zu produzieren“, sagt Snelting. Viele Fehlalarme führten zu einem massiv erhöhten Prüfaufwand oder dazu, dass Alarme ignoriert würden. JOANA reduziert die Zahl der Fehlalarme für alle Sicherheitslücken – auch für probabilistische Lecks. Die KIT-Wissenschaftler haben dafür eine neue Rechenmethode entwickelt (Relaxed Low-Security Oberservational Determinism), die nur an sicherheitskritischen Stellen eine feste Reihenfolge für beobachtbare Prozessschritte vorschreibt. Im obigen Beispiel hieße das, die Information „rot“ muss den Drucker immer vor der Information „L“ erreichen, unabhängig vom Passwort. „Die Herausforderung war, sicherheitsirrelevante Prozesse von solch strikten Vorgaben auszunehmen“, so Snelting. Andernfalls stiege entweder die Zahl der Fehlalarme, weil jede Abweichung als gefährlich eingestuft würde, oder die Ausführungen eines Programms müssten so massiv beschränkt werden, dass es praktisch nicht mehr nutzbar sei.

JOANA ist bislang weltweit das einzige Softwareanalysewerkzeug, das nicht nur alle Sicherheitslücken findet, sondern auch die Zahl der Fehlalarme minimiert, ohne die Funktionsfähigkeit von Programmen zu beeinträchtigen. Gefördert von der Deutschen Forschungsgemeinschaft haben die KIT-Wissenschaftler rund zwanzig Jahre auf diesem Gebiet geforscht. „Längerfristig könnte mit JOANA geprüfte Software ein neuartiges Zertifikat erhalten, das die Sicherheit des Programmcodes bescheinigt“, sagt Snelting.

Für interessierte Fachleute steht JOANA als Open Source Software zum Download zur Verfügung: http://pp.ipd.kit.edu/projects/joana

Digitale Pressemappe zum Wissenschaftsjahr 2014

Ob in der Kommunikation, der Energieversorgung oder der Mobilität, in der Industrie, im Gesundheitsbereich oder in der Freizeit: Digitale Technologien sind längst Teil unseres Alltags, sie eröffnen neue Möglichkeiten und bieten Lösungen für gesellschaftliche Probleme. Gleichzeitig stellen sie uns vor Herausforderungen. Chancen und Risiken stehen im Mittelpunkt des Wissenschaftsjahres 2014 – Die Digitale Gesellschaft. Am KIT beschäftigen sich Forscherinnen und Forscher aller Disziplinen mit den vielfältigen – technischen und gesellschaftlichen – Aspekten der Digitalisierung. Kurzporträts, Presseinformationen und Videos dazu bietet die digitale Pressemappe des KIT zum Wissenschaftsjahr:
http://www.pkm.kit.edu/digitalegesellschaft

Das Karlsruher Institut für Technologie (KIT) ist eine Körperschaft des öffentlichen Rechts nach den Gesetzen des Landes Baden-Württemberg. Es nimmt sowohl die Mission einer Universität als auch die Mission eines nationalen Forschungszentrums in der Helmholtz-Gemeinschaft wahr. Thematische Schwerpunkte der Forschung sind Energie, natürliche und gebaute Umwelt sowie Gesellschaft und Technik, von fundamentalen Fragen bis zur Anwendung. Mit rund 9.400 Mitarbeiterinnen und Mitarbeitern, darunter knapp 6.000 in Wissenschaft und Lehre, sowie 24.000 Studierenden ist das KIT eine der größten Forschungs- und Lehreinrichtungen Europas. Das KIT verfolgt seine Aufgaben im Wissensdreieck Forschung – Lehre – Innovation.

Diese Presseinformation ist im Internet abrufbar unter: http://www.kit.edu

Monika Landgraf | idw - Informationsdienst Wissenschaft

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Ergonomie am Arbeitsplatz: Kamera erkennt ungesunde Bewegungen
24.04.2017 | IPH - Institut für Integrierte Produktion Hannover gGmbH

nachricht TU Ilmenau entwickelt Chiptechnologie von morgen
20.04.2017 | Technische Universität Ilmenau

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Weltweit einzigartiger Windkanal im Leipziger Wolkenlabor hat Betrieb aufgenommen

Am Leibniz-Institut für Troposphärenforschung (TROPOS) ist am Dienstag eine weltweit einzigartige Anlage in Betrieb genommen worden, mit der die Einflüsse von Turbulenzen auf Wolkenprozesse unter präzise einstellbaren Versuchsbedingungen untersucht werden können. Der neue Windkanal ist Teil des Leipziger Wolkenlabors, in dem seit 2006 verschiedenste Wolkenprozesse simuliert werden. Unter Laborbedingungen wurden z.B. das Entstehen und Gefrieren von Wolken nachgestellt. Wie stark Luftverwirbelungen diese Prozesse beeinflussen, konnte bisher noch nicht untersucht werden. Deshalb entstand in den letzten Jahren eine ergänzende Anlage für rund eine Million Euro.

Die von dieser Anlage zu erwarteten neuen Erkenntnisse sind wichtig für das Verständnis von Wetter und Klima, wie etwa die Bildung von Niederschlag und die...

Im Focus: Nanoskopie auf dem Chip: Mikroskopie in HD-Qualität

Neue Erfindung der Universitäten Bielefeld und Tromsø (Norwegen)

Physiker der Universität Bielefeld und der norwegischen Universität Tromsø haben einen Chip entwickelt, der super-auflösende Lichtmikroskopie, auch...

Im Focus: Löschbare Tinte für den 3-D-Druck

Im 3-D-Druckverfahren durch Direktes Laserschreiben können Mikrometer-große Strukturen mit genau definierten Eigenschaften geschrieben werden. Forscher des Karlsruher Institus für Technologie (KIT) haben ein Verfahren entwickelt, durch das sich die 3-D-Tinte für die Drucker wieder ‚wegwischen‘ lässt. Die bis zu hundert Nanometer kleinen Strukturen lassen sich dadurch wiederholt auflösen und neu schreiben - ein Nanometer entspricht einem millionstel Millimeter. Die Entwicklung eröffnet der 3-D-Fertigungstechnik vielfältige neue Anwendungen, zum Beispiel in der Biologie oder Materialentwicklung.

Beim Direkten Laserschreiben erzeugt ein computergesteuerter, fokussierter Laserstrahl in einem Fotolack wie ein Stift die Struktur. „Eine Tinte zu entwickeln,...

Im Focus: Leichtbau serientauglich machen

Immer mehr Autobauer setzen auf Karosserieteile aus kohlenstofffaserverstärktem Kunststoff (CFK). Dennoch müssen Fertigungs- und Reparaturkosten weiter gesenkt werden, um CFK kostengünstig nutzbar zu machen. Das Laser Zentrum Hannover e.V. (LZH) hat daher zusammen mit der Volkswagen AG und fünf weiteren Partnern im Projekt HolQueSt 3D Laserprozesse zum automatisierten Besäumen, Bohren und Reparieren von dreidimensionalen Bauteilen entwickelt.

Automatisiert ablaufende Bearbeitungsprozesse sind die Grundlage, um CFK-Bauteile endgültig in die Serienproduktion zu bringen. Ausgerichtet an einem...

Im Focus: Making lightweight construction suitable for series production

More and more automobile companies are focusing on body parts made of carbon fiber reinforced plastics (CFRP). However, manufacturing and repair costs must be further reduced in order to make CFRP more economical in use. Together with the Volkswagen AG and five other partners in the project HolQueSt 3D, the Laser Zentrum Hannover e.V. (LZH) has developed laser processes for the automatic trimming, drilling and repair of three-dimensional components.

Automated manufacturing processes are the basis for ultimately establishing the series production of CFRP components. In the project HolQueSt 3D, the LZH has...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

200 Weltneuheiten beim Innovationstag Mittelstand in Berlin

26.04.2017 | Veranstaltungen

123. Internistenkongress: Wie digitale Technik die Patientenversorgung verändert

26.04.2017 | Veranstaltungen

„Microbiology and Infection“ - deutschlandweit größte Fachkonferenz in Würzburg

25.04.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Rittal mit neuer Push-in-Leiteranschlussklemme - Kontakte im Handumdrehen

26.04.2017 | HANNOVER MESSE

Plastik – nicht nur Müll

26.04.2017 | Ökologie Umwelt- Naturschutz

Seminar zu Einblicken in die unterschiedlichen Ebenen des 3D-Druckens und wirtschaftlichen Nutzungsmöglichkeiten - 2017

26.04.2017 | Seminare Workshops