Suchen

Forschungsprojekt zur IT-Sicherheit bei Cloud und Mobile Computing Fuzzing erkennt Sicherheitslücken

| Redakteur: Peter Schmitz

Fuzzing soll Sicherheitslücken bei Cloud- und Mobile Computing erkennen. So plant das Forschungsprojekt SecuriFIT des IT-Security-Netzwerk SeSamBB.

Firma zum Thema

Mithilfe der Fuzzing-Testmethode lassen sich Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen. Das zeigt das Forschungsprojekt SecuriFIT.
Mithilfe der Fuzzing-Testmethode lassen sich Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen. Das zeigt das Forschungsprojekt SecuriFIT.
(Bild: Fotolia)

Mithilfe der Testmethodik des sogenannten „Fuzzing“ lassen sich viele Qualitäts- und Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen und dadurch schließen. Voraussetzung dabei ist, dass das Fuzzing systematisch in den Testprozess von Unternehmen integriert ist. Zu diesem Ergebnis kommt das Forschungsprojekt SecuriFIT, das vom IT-Security-Netzwerk SeSamBB (Security und Safety made in Berlin und Brandenburg) mit Mitteln des Bundes und des Landes Brandenburg beauftragt wurde.

Das Forschungskonsortium von SecuriFIT besteht aus Experten der SQS Software Quality Systems AG, einem Spezialisten für Software-Qualität, und Codenomicon, einem Anbieter von Fuzzing-Werkzeugen. Gemeinsam bearbeiteten sie über sechs Monate hinweg das von SeSamBB geförderte Projekt.

Fuzzing knackt Schnittstellen

Ausgangslage war die Erkenntnis, dass Fuzzing besonders für die Absicherung von Schnittstellen zwischen Systemen geeignet sei. In einer Art Stresstest bombardiert Fuzzing diese Schnittstellen kontinuierlich mit automatisch generierten Testdaten, mit dem Ziel diese Schnittstellen aufzubrechen.

Dieses Vorgehen eignet sich insbesondere für Cloud und Mobile Computing, da es hier überdurchschnittlich viele Schnittstellen und damit mögliche Angriffsstellen gibt. „Mit unserer Defensic-Suite unterstützen wir heute über 300 Protokolle, für die diese Technik direkt eingesetzt werden kann“, so Anton von Troyer, Leiter der deutschen Codenomicon-Niederlassung in München.

Motivation für das Projekt sei die Tatsache gewesen, dass Fuzzing als Testtechnik bisher noch nicht systematisch in bestehende Testprozesse integriert ist, so die Forscher von SecuriFIT. Diese seien in der Regel für die Sicherheitstests des Fuzzings noch nicht entsprechend angepasst. „Der Einsatz von Fuzzing wurde bisher auch dadurch erschwert, dass eine Vielzahl von unterschiedlichen Testprozessen wie die von ISEB, ISTQB oder TMap zum Einsatz kommen“, erläutert Frank Simon, Leiter von SQS Research. „SecuriFIT hat nun einen generischen Testprozess vorgelegt, der das Fuzzing beinhaltet und somit diese Testtechnik für einen systematischen Praxiseinsatz nutzbar macht. „Dadurch kann Fuzzing einfach in alle Testprozesse fertig integriert werden“, so Simon.

In einem zweiten Schritt wird SecuriFIT diesen übergreifenden Testprozess inklusive Fuzzing in den nächsten Monaten in einem konkreten Anwendungsfall einsetzen, um den Nutzen des Vorgehens mit empirischem Datenmaterial zu unterfüttern.

Die Forschungsergebnisse selbst sind ab sofort für Mitglieder und Interessenten des SesamBB-Netzwerkes verfügbar und werden aktuell auf einigen Konferenzen bereits vorgestellt.

Das Forschungsprojekt wird gefördert durch SesamBB, einem Netzwerk von Unternehmen aus Berlin und Brandenburg. Die brandenburgische Landesregierung unterstützt SesamBB im Rahmen der Gemeinschaftsaufgabe „Verbesserung der regionalen Wirtschaftsstruktur“ (GRW) mit Mitteln des Bundes und des Landes. Ziel des Forschungsprojekts ist es, nachhaltige Lösungen zu finden, welche die öffentliche Sicherheit und die Sicherheit in Unternehmen verbessern.

(ID:33615230)