Software-Testing mit Fuzzing

Nicht selten gibt es Meldungen über Sicherheitslücken und Programmfehler von IT-Softwares – und oft atmen wir erst einmal auf, wenn es uns auf den ersten Blick nicht betrifft. Aber spätestens, wenn Cyberkriminelle auf persönliche Daten zugreifen oder sich in sicherheitskritische Infrastruktur wie Krankenhäuser oder Stromnetze hacken, wird die Bedrohung real und die Bedeutung von Software-Sicherheit deutlich. Die zunehmende Digitalisierung verstärkt die Bedrohung im Cyberraum zusätzlich. Um die Gefahren einzudämmen, ist es notwendig, mögliche Programmfehler und Sicherheitslücken in Computerprogrammen auszumachen, bevor sie Schaden anrichten. Das funktioniert mit dem sogenannten »Fuzzing« – einer Methode, um Software automatisiert zu testen, indem ein Programm mit zufälligen, unerwarteten oder fehlerhaften Eingaben gefüttert wird, um Schwachstellen oder Sicherheitslücken aufzudecken.

Optimierung des Verfahrens

Das Problem: Fuzzing ist derzeit noch aufwendig und teuer, da die Fuzzer auf das zu testende Programm angepasst werden müssen.  Um das zu ändern, hat Prof. Andreas Zeller das Projekt »S3 – Semantics of Software Systems« ins Leben gerufen. Seine Vision: Fuzzing weiter zu optimieren, damit jede Software der Welt ganz automatisch getestet werden kann.

Wie weit sind wir von der Vision einer automatischen Sicherheitsprüfung im Cyberraum entfernt? Wo setzt die Forschung an, um Fuzzing weiter zu automatisieren? Und welche praktischen Anwendungen gibt es? Darüber hat detektor.fm-Redakteur Stephan Ziegert im »Forschungsquartett« mit Prof. Andreas Zeller gesprochen. Zeller ist Faculty am CISPA Helmholtz-Zentrum für Informationssicherheit und Professor für Softwaretechnik an der Universität des Saarlandes.