Forschungsprojekt zur IT-Sicherheit bei Cloud und Mobile Computing

Fuzzing erkennt Sicherheitslücken

| Redakteur: Peter Schmitz

Mithilfe der Fuzzing-Testmethode lassen sich Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen. Das zeigt das Forschungsprojekt SecuriFIT.
Mithilfe der Fuzzing-Testmethode lassen sich Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen. Das zeigt das Forschungsprojekt SecuriFIT. (Bild: Fotolia)

Fuzzing soll Sicherheitslücken bei Cloud- und Mobile Computing erkennen. So plant das Forschungsprojekt SecuriFIT des IT-Security-Netzwerk SeSamBB.

Mithilfe der Testmethodik des sogenannten „Fuzzing“ lassen sich viele Qualitäts- und Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen und dadurch schließen. Voraussetzung dabei ist, dass das Fuzzing systematisch in den Testprozess von Unternehmen integriert ist. Zu diesem Ergebnis kommt das Forschungsprojekt SecuriFIT, das vom IT-Security-Netzwerk SeSamBB (Security und Safety made in Berlin und Brandenburg) mit Mitteln des Bundes und des Landes Brandenburg beauftragt wurde.

Das Forschungskonsortium von SecuriFIT besteht aus Experten der SQS Software Quality Systems AG, einem Spezialisten für Software-Qualität, und Codenomicon, einem Anbieter von Fuzzing-Werkzeugen. Gemeinsam bearbeiteten sie über sechs Monate hinweg das von SeSamBB geförderte Projekt.

Fuzzing knackt Schnittstellen

Ausgangslage war die Erkenntnis, dass Fuzzing besonders für die Absicherung von Schnittstellen zwischen Systemen geeignet sei. In einer Art Stresstest bombardiert Fuzzing diese Schnittstellen kontinuierlich mit automatisch generierten Testdaten, mit dem Ziel diese Schnittstellen aufzubrechen.

Dieses Vorgehen eignet sich insbesondere für Cloud und Mobile Computing, da es hier überdurchschnittlich viele Schnittstellen und damit mögliche Angriffsstellen gibt. „Mit unserer Defensic-Suite unterstützen wir heute über 300 Protokolle, für die diese Technik direkt eingesetzt werden kann“, so Anton von Troyer, Leiter der deutschen Codenomicon-Niederlassung in München.

Motivation für das Projekt sei die Tatsache gewesen, dass Fuzzing als Testtechnik bisher noch nicht systematisch in bestehende Testprozesse integriert ist, so die Forscher von SecuriFIT. Diese seien in der Regel für die Sicherheitstests des Fuzzings noch nicht entsprechend angepasst. „Der Einsatz von Fuzzing wurde bisher auch dadurch erschwert, dass eine Vielzahl von unterschiedlichen Testprozessen wie die von ISEB, ISTQB oder TMap zum Einsatz kommen“, erläutert Frank Simon, Leiter von SQS Research. „SecuriFIT hat nun einen generischen Testprozess vorgelegt, der das Fuzzing beinhaltet und somit diese Testtechnik für einen systematischen Praxiseinsatz nutzbar macht. „Dadurch kann Fuzzing einfach in alle Testprozesse fertig integriert werden“, so Simon.

In einem zweiten Schritt wird SecuriFIT diesen übergreifenden Testprozess inklusive Fuzzing in den nächsten Monaten in einem konkreten Anwendungsfall einsetzen, um den Nutzen des Vorgehens mit empirischem Datenmaterial zu unterfüttern.

Die Forschungsergebnisse selbst sind ab sofort für Mitglieder und Interessenten des SesamBB-Netzwerkes verfügbar und werden aktuell auf einigen Konferenzen bereits vorgestellt.

Das Forschungsprojekt wird gefördert durch SesamBB, einem Netzwerk von Unternehmen aus Berlin und Brandenburg. Die brandenburgische Landesregierung unterstützt SesamBB im Rahmen der Gemeinschaftsaufgabe „Verbesserung der regionalen Wirtschaftsstruktur“ (GRW) mit Mitteln des Bundes und des Landes. Ziel des Forschungsprojekts ist es, nachhaltige Lösungen zu finden, welche die öffentliche Sicherheit und die Sicherheit in Unternehmen verbessern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 33615230 / Softwareentwicklung)