Schnittstellen sind Angriffsstellen
Forschungsprojekt zur IT-Sicherheit: Qualitäts- und Sicherheitslücken im Cloud Computing erkennen schließen
"Fuzzing" ist besonders für die Absicherung von Schnittstellen zwischen Systemen geeignet
(18.05.12) - Mithilfe der Testmethodik des sogenannten "Fuzzing" lassen sich viele Qualitäts- und Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen und dadurch schließen. Voraussetzung dabei ist, dass das Fuzzing systematisch in den Testprozess von Unternehmen integriert ist. Zu diesem Ergebnis kommt das Forschungsprojekt "SecuriFIT", das vom IT-Security-Netzwerk "SesamBB" mit Mitteln des Bundes und des Landes Brandenburg beauftragt wurde.
Das Forschungskonsortium von SecuriFIT besteht aus Experten der SQS Software Quality Systems AG und Codenomicon. Gemeinsam bearbeiteten sie über sechs Monate hinweg das von SesamBB geförderte Projekt.
Ausgangslage war die Erkenntnis, dass Fuzzing besonders für die Absicherung von Schnittstellen zwischen Systemen geeignet sei. In einer Art Stresstest bombardiert Fuzzing diese Schnittstellen kontinuierlich mit automatisch generierten Testdaten, mit dem Ziel diese Schnittstellen aufzubrechen. Dieses Vorgehen eignet sich insbesondere für Cloud und Mobile Computing, da es hier überdurchschnittlich viele Schnittstellen und damit mögliche Angriffsstellen gibt. "Mit unserer Defensic-Suite unterstützen wir heute über 300 Protokolle, für die diese Technik direkt eingesetzt werden kann", so Anton von Troyer, Leiter der deutschen Codenomicon-Niederlassung in München.
Motivation für das Projekt sei die Tatsache gewesen, dass Fuzzing als Testtechnik bisher noch nicht systematisch in bestehende Testprozesse integriert ist, so die Forscher von SecuriFIT. Diese seien in der Regel für die Sicherheitstests des Fuzzings noch nicht entsprechend angepasst. "Der Einsatz von Fuzzing wurde bisher auch dadurch erschwert, dass eine Vielzahl von unterschiedlichen Testprozessen wie die von ISEB, ISTQB oder TMap zum Einsatz kommen", erläutert Frank Simon, Leiter von SQS Research. "SecuriFIT hat nun einen generischen Testprozess vorgelegt, der das Fuzzing beinhaltet und somit diese Testtechnik für einen systematischen Praxiseinsatz nutzbar macht. "Dadurch kann Fuzzing einfach in alle Testprozesse fertig integriert werden", so Simon.
In einem zweiten Schritt wird SecuriFIT diesen übergreifenden Testprozess inklusive Fuzzing in den nächsten Monaten in einem konkreten Anwendungsfall einsetzen, um den Nutzen des Vorgehens mit empirischem Datenmaterial zu unterfüttern.
Die Forschungsergebnisse selbst sind ab sofort für Mitglieder und Interessenten des SesamBB-Netzwerkes verfügbar und werden aktuell auf einigen Konferenzen bereits vorgestellt.
Das Forschungsprojekt wird gefördert durch SesamBB, einem Netzwerk von Unternehmen aus Berlin und Brandenburg. Die brandenburgische Landesregierung unterstützt SesamBB im Rahmen der Gemeinschaftsaufgabe "Verbesserung der regionalen Wirtschaftsstruktur" (GRW) mit Mitteln des Bundes und des Landes. Ziel des Forschungsprojekts ist es, nachhaltige Lösungen zu finden, welche die öffentliche Sicherheit und die Sicherheit in Unternehmen verbessern. (SQS Software Quality Systems: ra)
SQS Software Quality Systems: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.