Anbieter zum Thema

MES Electronic Connect GmbH & Co. KG

Precoplat Präzisions-Leiterplatten-Technik GmbH

RECOM Power GmbH

Dynamische und statische Analyse

Das Testen auf Schwachstellen dieser Art ist unter Umständen sehr schwierig. Sogar Tests, die eine sehr hohe Codeabdeckung erreichen, können bei der Aufdeckung dieser Probleme versagen. Für gewöhnlich sind Testfälle so aufgebaut, dass die Funktionalität unter normalen Umständen validiert wird. Bei einem Test auf Sicherheitslücken muss sich der Tester in die Gedankengänge eines zielstrebigen und raffinierten Angreifers versetzen.

Techniken wie Fuzz Testing (http://en.wikipedia.org/wiki/Fuzz_testing) können eine nützliche Hilfe bei der Suche nach bestimmten Fehlerarten sein, über die Code eingeschleust wird, beispielsweise Orte, an denen Daten als Format-Strings zum Einsatz kommen. Allerdings ist diese Technik normalerweise zu stark zufallsabhängig und daher nicht zuverlässig genug.

Eine statische Analyse kann ein sehr effektives Mittel sein, um Schwachstellen für Code-Injektion aufzuspüren. Die Werkzeuge der frühen Generationen der statischen Analyse (wie lint und seine direkten Nachfolger) bieten beim Auffinden dieser Schwachstellen nur eine schwache Leistung, da eine pfadsensitive Analyse des gesamten Programms erfolgen muss, um die gewünschte Genauigkeit zu erreichen.

Viel effektiver arbeiten moderne Tools zur statischen Analyse, die in den letzten Jahren auf den Markt kamen, denn die Anbieter dieser Werkzeuge haben viel Erfahrung darüber gesammelt, welche Schnittstellen gefährlich sind, und sie haben einen Wissensbestand aufgebaut, wonach zu suchen ist, und wie dies effektiv passieren kann, ohne den Benutzer in falschen positiven Resultaten zu ertränken.

Statische Analyse am praktischen Beispiel

Die Schlüsseltechnik, die wir bei GrammaTech dafür einsetzen, wird als Taint Analysis oder mitunter als Analyse gefährlicher Informationsflüsse bezeichnet. Diese Werkzeuge arbeiten so, dass sie zuerst die Quellen potenziell gefährlicher Daten identifizieren und danach verfolgen, wie diese Informationen durch den Code an Orte fließen, wo sie ohne vorherige Gültigkeitsprüfung verwendet werden. Die besten Werkzeuge ermöglichen außerdem eine Visualisierung des Flusses.

Wie effektiv das sein kann, zeigt folgendes Beispiel: In einem Programm zur Implementierung eines IRC-Servers (für "Internet Relay Chat") wurde eine Command Injection-Schwachstelle gefunden. Sie lag an einem Ort, an dem Daten ohne Unbedenklichkeitsprüfung aus dem Netzwerk als Eingabe an die Funktion system() übergeben wurden. Im links eingefügten Screenshot von CodeSonar (dem Werkzeug für statische Analysen von GrammaTech) ist dies abgebildet: Der Aufruf von system() war in diesem Fall zwei Ebenen tiefer im Text eines Makros versteckt, dessen Name nahe legte, dass es für eine ungefährliche Aktivitätsprotokollierung zuständig sei.

In der erweiterten Darstellung der Makros wurde jedoch klar, dass dies eine böswillig und vorsätzlich eingebaute Hintertür mit der Tarnung als etwas scheinbar Harmloses war. Käme sie zum Einsatz, hätte diese Hintertür jedem, der den Code kennt die Möglichkeit geboten, Code auf dem Host-Computer mit den gleichen Rechten wie der Server auszuführen.

Code-Injection-Schwachstellen stellen gefährliche Sicherheitsprobleme dar, denn sie können es einem Angreifer ermöglichen, das Programm zu stören und mitunter sogar die Kontrolle über den Computer zu übernehmen. Entwickler, die sicherstellen wollen, dass die Nutzung ihres Embedded-Codes in einer potenziell feindlichen Umgebung sicher ist, sollten alles tun, um die Risiken schon in einem frühen Stadium des Entwicklungszyklus auszuschließen. Weil diese mit traditionellen Techniken eventuell schwer zu finden sind, empfehlen sich strenge Code-Prüfungen und der Einsatz hochentwickelter Tools zur statischen Analyse.

* Dr. Paul Anderson ist Chief Technology Officer (CTO) bei GrammaTech.

(ID:43669401)