Mit Fuzzing sind beeindruckende Erfolge zu erzielen. So konnte H.D. Moore im Juli 2006 in 31 Tagen genau 31 Bugs mit seinem Fuzzer AxMan aufdecken. Allein im Internet Explorer fanden sich 25 Bugs. Dennoch ist Fuzzing eine „Holzhammermethode“, vergleichbar mit Brute-Force beim Brechen von Verschlüsselungsmethoden. Mit proaktiver sicherheitsbewusster Softwareentwicklung hat Fuzzing nichts zu tun. Softwarehäuser stellen intensives Fuzz-Testing gerne als „Qualitätsbeweis“ heraus.
Doch das Gegenteil ist zumeist der Fall. Fuzzer sind wie ein grobes Sieb, das nur einige Lücken entdeckt. Dadurch, dass immer wieder neue Fuzzer erscheinen, können auch in bereits getesteten Programmen neue Schwachstellen bekannt werden. Fuzzer sind das tägliche Handwerkszeug von Cyberkriminellen, die nach neuen Einbruchsmöglichkeiten suchen.
„Fuzzing allein ist keine zuverlässige Methode zur Qualitätssicherung von Software“, sagt Sicherheitsberater Brian Chess, Unternehmensgründer von Fortify Software. Der Trend gehe dahin, nicht nur von außen auf die Applikationen zu schauen, sondern die Schwachstellen früher zu erkennen. Chess läutet somit eine neue Runde im Wettstreit um die beste Prüfmethode in der sicheren Softwareentwicklung ein.
Schaue man sich den Markt für gängige, durchaus professionelle Tools genauer an, dann zeigten sich anhand von Werkzeugen wie Spike, Peach, Protos und vielen anderen mehr, dass sich daraus nur begrenzte Rückschlüsse auf die Softwaresicherheit ziehen ließen. Auch Black-Box-Scanning-Tools wie Cenzic, SPI Dynamics oder Watchfire lösten das Problem nur bedingt.
Dies sei auch deshalb der Fall, weil die Werkzeuge sogar ein latentes neues Managementproblem generierten, ähnlich der automatischen Einbruchsabwehr. Denn zahlreiche Fehlalarme gebe es nicht nur bei der Intrusion Detection, sondern auch beim Fuzzing. Die mit allerlei Informationen gespickten, überbordenden Fehlerberichte gelte es dann nach sinnvollen Kriterien auszuwerten, so dass der Aufwand oft aus dem Ruder laufe.
Neueste Kommentare
Noch keine Kommentare zu Werkzeuge zur Codeanalyse: Sicherheits- oder Hackertools?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.