For­schungs­pro­jekt zum Schutz vor Schwach­stel­len in frei zu­g?ng­li­cher Soft­ware bringt zwei Tools her­vor

 |  ForschungIntelligente Technische SystemeSonderforschungsbereicheWirtschaftTransferPressemitteilungHeinz Nixdorf InstitutFakult?t für Elektrotechnik, Informatik und MathematikInstitut für Informatik

Frei zug?ngliche Computerprogramme, die Nutzer*innen herunterladen, ver?ndern und verbreiten dürfen – das steckt hinter sogenannten ?Open-Source-Softwares“. Entwickler*innen machen davon u. a. Gebrauch, um einzelne Softwaremodule für neue Anwendungen aus einer Datenbank zu beziehen, anstatt sie selbst von Grund auf zu entwickeln. Das Problem: Bei den frei zug?nglichen Inhalten treten immer wieder Schwachstellen auf, womit die Gefahr für Schadsoftware steigt. Um dieses Risiko zu minimieren, haben sich Wissenschaftler vom Institut für Informatik und vom Heinz Nixdorf Institut der Universit?t Paderborn für ein Forschungsprojekt mit dem Softwareunternehmen SAP SE zusammengeschlossen. Die Experten*innen haben u. a. Werkzeuge entwickelt, die Schwachstellen auch mit bisher unzureichenden Informationen erkennen und entfernen k?nnen. Das auf drei Jahre angelegte Projekt wurde von der Deutschen Forschungsgemeinschaft (DFG) mit knapp 500.000 Euro gef?rdert.

Risiko für Schadsoftware verringen

?Open-Source-Bibliotheken sind sehr weit verbreitet in der modernen Softwareentwicklung. Zwar gibt es dafür gute Gründe, allerdings erhalten durch den ?ffentlichen Zugang auch potenzielle Angreifer Einblicke in Teile der zugrundeliegenden Codes. So finden sie Schwachstellen, die sie für Cyber-Angriffe ausnutzen k?nnen“, erl?utert Jonas Klauke, Wissenschaftlicher Mitarbeiter der Paderborner Fachgruppe ?Secure Software Engineering“. Die gute Nachricht: Diese Schwachstellen werden auch von der Open-Source Community gefunden, gemeldet und in einer neuen Version der Bibliothek repariert. Klauke erl?utert: ?Um die Schwachstellen in den Anwendungen zu schlie?en, muss die genutzte Bibliothek auf die reparierte Version aktualisiert werden. Dafür müssen die Entwickler*innen informiert werden. Das passiert über Tools, die Bibliotheken mit Schwachstellen erkennen. Das Problem ist, dass diese Tools oft ungenau sind. Deshalb haben wir an einem automatisierten Prozess geforscht, der die Entwickler*innen bei der Behebung von befallenen Bibliotheken unterstützt.“ Dadurch sollen die Sicherheitslücken schnell und unkompliziert geschlossen werden.

?UpCy“ steht bereits zur freien Verfügung

Erkl?rtes Projektziel war es, Werkzeuge zu entwickeln, die Schwachstellen in Open-Source-Anwendungen auch mit unzureichenden Informationen erkennen k?nnen. Dabei herausgekommen sind zwei Tools, von denen eines bereits ?ffentlich zur Verfügung steht. ?Das erste ist ein Scanner, der es erm?glicht, Bibliotheken mit Schwachstellen zu erfassen, die in Anwendungen aktiv genutzt werden. Da das Updaten von Bibliotheken einige Ver?nderungen mit sich bringt, muss das Programm oft an die neue Version angepasst werden. Dieser Aufwand kann reduziert werden, indem das Updaten auf die genutzten Bibliotheken mit Schwachstellen fokussiert wird“, so Klauke. Das zweite entwickelte Tool mit dem Namen ?UpCy“ hilft Nutzer*innen beim automatischen Aktualisieren der befallenen Bibliotheken, indem es neue Versionen von Bibliotheken findet, deren Updates keine Komplikationen verursachen. W?hrend an dem Scanner noch gearbeitet wird, k?nnen Anwender*innen ?UpCy“ bereits nutzen.

Schwachstellen in Open-Source-Softwares auch ohne den Quellcode finden

Zwar gibt es bereits Tools, die Schwachstellen in Open-Source-Softwares erkennen, allerdings nur, wenn die Metadaten oder der sogenannte ?Quellcode“ vorliegen. ?Dieser ist in einer für Menschen lesbaren Programmiersprache geschrieben und wird in einen Maschinencode übersetzt, um die Anwendung auf dem Computer ausführbar zu machen. Der Quellcode kann allerdings nicht immer pr?zise der jeweiligen Version der Bibliothek zugewiesen werden. Fehlen nun auch die Metadaten, werden Bibliotheken mit potentiellen Schwachstellen übersehen“, so Klauke. Mithilfe der entwickelten Prozesskette lassen sich nun auch diese Bibliotheken erkennen, wenn weder Metadaten noch eine direkte Verbindung zum ursprünglichen Quellcode existieren.

Weitere Informationen gibt es hier.

Foto (Universit?t Paderborn): Experten*innen haben Werkzeuge entwickelt, die Schwachstellen in Open-Source-Anwendungen erkennen und entfernen k?nnen.

Kontakt

business-card image

Jonas Klauke

Secure Software Engineering / Heinz Nixdorf Institut

E-Mail schreiben +49 5251 60-6568