Fallstudie weist nach: "Fuzzing"-Methode erhöht Wirtschaftlichkeit von IT-Sicherheitstests

Köln (ots) - Der systematische Einsatz der
IT-Sicherheitstechnologie Fuzzing beim Software-Testen hat seine
Praxistauglichkeit bewiesen. Eine Fallstudie des Forschungsprojekts
SecuriFIT fand mithilfe dieses Ansatzes mehr und kritischere
Sicherheitslücken als herkömmliche Sicherheitstests. SecuriFIT wird
vom IT-Security-Netzwerk SeSamBB mit Mitteln des Bundes und des
Landes Brandenburg getragen. Daneben sind die Unternehmen SQS
Software Quality Systems, der weltweit führende Spezialist für
Software-Qualität, und Codenomicon, Anbieter von Fuzzing-Werkzeugen,
im Forschungskonsortium vertreten.

Die Wirksamkeits- und Wirtschaftlichkeitsstudie von SeSamBB wies
nach, dass der Einsatz des werkzeuggestützten Fuzzings die
Testabdeckung im Vergleich zu manuell aufgesetzten Checks drastisch
erhöht. Darüber hinaus findet das werkzeuggestützte Vorgehen bei
gleichem Ressourceneinsatz eine größere Anzahl mittelschwerer und
sicherheitskritischer Fehler. Dadurch erwies sich Fuzzing im
Vergleich zu herkömmlichen Sicherheitstests als der effizientere
Ansatz.

Die Praxistauglichkeit von Fuzzing prüften die Forscher bei einem
Software-Hersteller, der ein webbasiertes Produkt zur Erfassung,
Verwaltung und Auswertung arbeitsschutzrechtlichen Wissens entwickelt
und vertreibt. Dieses Produkt können die Kunden über ihren
Internetbrowser bedienen.

Die Studie erstreckte sich über einen Release-Zyklus (Iteration)
der Software-Entwicklung. Für die Sicherheitstests standen zwei Tage
zur Verfügung, in denen wie gewohnt auf Basis des vorliegenden
Bedrohungsprofils manuell getestet wurde. Parallel dazu führte das
SecuriFIT-Team im gleichen Zeitraum die Fuzzing-Testläufe durch und
verglich anschließend die Kennzahlen und Ergebnisse der beiden
Vorgehen. "Obwohl für das Fuzzing die Testinfrastruktur erst noch
eingerichtet und justiert werden musste, deckte es eine größere
Anzahl von Sicherheitslücken auf", berichtet Sven Euteneuer, Senior
Research Manager bei SQS Software Quality Systems. "Zu den zusätzlich
gefundenen Schwachstellen gehörte auch ein schwerer Fehler, der das
gesamte System zum Absturz brachte und sich somit für sogenannte
Denial-of-Service-Angriffe geeignet hätte."

Die jetzt abgeschlossene Fallstudie zu Fuzzing führte das bereits
2011 gestartete SecuriFIT weiter. Bereits im Mai 2012 identifizierte
das Forschungsprojekt Fuzzing als geeignete Methode,
Sicherheitslücken im Rahmen von Integrationstests zu erkennen.
SecuriFIT schuf so die Voraussetzungen dafür, Fuzzing mit bereits
vorhandenen Standardtestvorgehen zu integrieren. In einer Art
Stresstest werden beim Fuzzing die Schnittstellen zwischen Systemen
kontinuierlich mit automatisch generierten Testdaten bombardiert, um
die Schnittstellen auf Sicherheits- und Stabilitätsprobleme hin zu
überprüfen. "Mit unserer Defensic-Suite unterstützen wir heute über
300 Protokoll-Schnittstellen. Für diese kann die Technik direkt
eingesetzt werden - mit dem Ziel, unbekannte Schwachstellen zu
entdecken", so Anton von Troyer, Leiter der deutschen
Codenomicon-Niederlassung in München.

Pressekontakt:
PR-Partner Köln (Büro Berlin)
Matthias Longo
Urbanstraße 116 (Aufgang 7)
10967 Berlin
Telefon: +49 30 91547028
Fax: +49 30 69568977
E-Mail: longo@prp-koeln.de
Internet: www.prp-koeln.de