Köln (ots) – Der systematische Einsatz der IT-Sicherheitstechnologie Fuzzing beim Software-Testen hat seine Praxistauglichkeit bewiesen. Eine Fallstudie des Forschungsprojekts SecuriFIT fand mithilfe dieses Ansatzes mehr und kritischere Sicherheitslücken als herkömmliche Sicherheitstests. SecuriFIT wird vom IT-Security-Netzwerk SeSamBB mit Mitteln des Bundes und des Landes Brandenburg getragen. Daneben sind die Unternehmen SQS Software Quality Systems, der weltweit führende Spezialist für Software-Qualität, und Codenomicon, Anbieter von Fuzzing-Werkzeugen, im Forschungskonsortium vertreten.
Die Wirksamkeits- und Wirtschaftlichkeitsstudie von SeSamBB wies nach, dass der Einsatz des werkzeuggestützten Fuzzings die Testabdeckung im Vergleich zu manuell aufgesetzten Checks drastisch erhöht. Darüber hinaus findet das werkzeuggestützte Vorgehen bei gleichem Ressourceneinsatz eine gröŸere Anzahl mittelschwerer und sicherheitskritischer Fehler. Dadurch erwies sich Fuzzing im Vergleich zu herkömmlichen Sicherheitstests als der effizientere Ansatz.
Die Praxistauglichkeit von Fuzzing prüften die Forscher bei einem Software-Hersteller, der ein webbasiertes Produkt zur Erfassung, Verwaltung und Auswertung arbeitsschutzrechtlichen Wissens entwickelt und vertreibt. Dieses Produkt können die Kunden über ihren Internetbrowser bedienen.
Die Studie erstreckte sich über einen Release-Zyklus (Iteration) der Software-Entwicklung. Für die Sicherheitstests standen zwei Tage zur Verfügung, in denen wie gewohnt auf Basis des vorliegenden Bedrohungsprofils manuell getestet wurde. Parallel dazu führte das SecuriFIT-Team im gleichen Zeitraum die Fuzzing-Testläufe durch und verglich anschlieŸend die Kennzahlen und Ergebnisse der beiden Vorgehen. “Obwohl für das Fuzzing die Testinfrastruktur erst noch eingerichtet und justiert werden musste, deckte es eine gröŸere Anzahl von Sicherheitslücken auf”, berichtet Sven Euteneuer, Senior Research Manager bei SQS Software Quality Systems. “Zu den zusätzlich gefundenen Schwachstellen gehörte auch ein schwerer Fehler, der das gesamte System zum Absturz brachte und sich somit für sogenannte Denial-of-Service-Angriffe geeignet hätte.”
Die jetzt abgeschlossene Fallstudie zu Fuzzing führte das bereits 2011 gestartete SecuriFIT weiter. Bereits im Mai 2012 identifizierte das Forschungsprojekt Fuzzing als geeignete Methode, Sicherheitslücken im Rahmen von Integrationstests zu erkennen. SecuriFIT schuf so die Voraussetzungen dafür, Fuzzing mit bereits vorhandenen Standardtestvorgehen zu integrieren. In einer Art Stresstest werden beim Fuzzing die Schnittstellen zwischen Systemen kontinuierlich mit automatisch generierten Testdaten bombardiert, um die Schnittstellen auf Sicherheits- und Stabilitätsprobleme hin zu überprüfen. “Mit unserer Defensic-Suite unterstützen wir heute über 300 Protokoll-Schnittstellen. Für diese kann die Technik direkt eingesetzt werden – mit dem Ziel, unbekannte Schwachstellen zu entdecken”, so Anton von Troyer, Leiter der deutschen Codenomicon-Niederlassung in München.
Pressekontakt: PR-Partner Köln (Büro Berlin) Matthias Longo UrbanstraŸe 116 (Aufgang 7) 10967 Berlin Telefon: +49 30 91547028 Fax: +49 30 69568977 E-Mail: longo@prp-koeln.de Internet: www.prp-koeln.de
Quelle: presseportal.de wirtschaft