Um ein ungesichertes Auto zu finden, reicht es oft, auf einem Parkplatz mehrere Autotüren zu testen. Ähnlich gehen Cyberkriminelle vor, wenn sie an ein Programm wahllos Eingaben aus Buchstaben, Zahlen und Sonderzeichen senden, um so eine Sicherheitslücke zu finden. Um ihnen zuvorzukommen, entwickeln Informatiker des CISPA Helmholtz-Zentrums i.G. Software, die dies effizienter tut. Innerhalb von Minuten erlernt sie das Eingabeformat und produziert Millionen gültiger Programmeingaben; das dafür notwendige Wissen extrahiert die Software automatisch aus den Programmen. Ihre neuesten Werkzeuge stellen die Forscher ab dem 11. Juni in Hannover auf der Computermesse Cebit in Halle 27 an Stand F68 vor.
„Moderne Programme können sehr schnell sehr viele Tests generieren. Doch die Spreu trennt sich vom Weizen, wenn es darum geht, gültige Eingaben zu erstellen, die tief in das Zielprogramm vordringen”, erklärt Professor Andreas Zeller, der an der Universität des Saarlandes Softwaretechnik lehrt und am CISPA Helmholtz-Zentrum i.G. forscht.
Mit seinen Doktoranden hat er daher das Programm „Autogram“ entwickelt. Es erkennt automatisch die Regeln, die für die Eingaben gelten müssen, damit diese als gültig akzeptiert werden. Die Informatiker bezeichnen diese Regeln zusammenfassend als „kontextfreie Grammatik“. Diese wiederum verarbeitet „tribble“, eine weitere Software der Saarbrücker Informatiker, und erzeugt so Millionen von zufälligen, aber gültigen Eingaben für das zu untersuchende Softwaresystem. „Damit können wir das Softwaresystem auf Herz und Nieren prüfen“, erläutert Zeller. Die Vielzahl der getesteten Eingaben verringere die Wahrscheinlichkeit erheblich, eine Sicherheitslücke zu übersehen. Neu und weltweit einmalig: Das Saarbrücker Testsystem braucht hierfür nichts als das zu testende Programm, während die Konkurrenz auf umfassende Beispieleingaben angewiesen ist.
„Unsere Werkzeuge Autogram und tribble weisen damit in eine Zukunft, in der voll automatisiertes Testen auf Sicherheitslücken für jedes Programm möglich ist, das Eingabedaten verarbeitet“, sagt Zeller. Bereits 2012 hat sein Lehrstuhl den auf Grammatiken basierenden Testgenerator „Langfuzz“ für die Programmiersprache JavaScript vorgestellt. Inzwischen ist er täglich im Einsatz bei Unternehmen wie Mozilla und Google und hat in den Webbrowsern Firefox und Chrome mehrere Tausend Fehler und Sicherheitslücken gefunden.
1.700 Studierende aus 81 Nationen studieren in drei etablierten Fachbereichen 15 informatiknahe Studiengänge am Saarland Informatics Campus (SIC) an der Universität des Saarlandes. Mehr als 800 Wissenschaftler/innen erforschen in zwei Graduiertenschulen und sechs weltweit angesehenen Forschungsinstituten das gesamte Themenspektrum der Informatik und bereichern somit insbesondere die Gebiete IT-Sicherheit, Künstliche Intelligenz, Visual Computing, Bioinformatik und Semantic Web – von den Grundlagen bis zu innovativen Anwendungen. Der SIC kooperiert mit internationalen Konzernen wie Google, Microsoft und Facebook, fördert mit dem IT-Inkubator (ITI) zahlreiche Existenzgründungen und wirkt somit als Treiber für weitere Ansiedlungen von Industrie, Forschungs- und Entwicklungslaboren. Das gesamte Standortpotenzial wird genutzt, um wissenschaftliche Publikationen, Preise, aber auch Patentanmeldungen und technologische Innovationen hervorzubringen. Dank exzellenter Expertise und Wettbewerbsfähigkeit ist gemeinsamer Erfolg am Saarland Informatics Campus garantiert.
