Mit Fuzzing sind beeindruckende Erfolge zu erzielen. So konnte H.D. Moore im Juli 2006 in 31 Tagen genau 31 Bugs mit seinem Fuzzer AxMan aufdecken. Allein im Internet Explorer fanden sich 25 Bugs. Dennoch ist Fuzzing eine „Holzhammermethode“, vergleichbar mit Brute-Force beim Brechen von Verschlüsselungsmethoden. Mit proaktiver sicherheitsbewusster Softwareentwicklung hat Fuzzing nichts zu tun. Softwarehäuser stellen intensives Fuzz-Testing gerne als „Qualitätsbeweis“ heraus.
Doch das Gegenteil ist zumeist der Fall. Fuzzer sind wie ein grobes Sieb, das nur einige Lücken entdeckt. Dadurch, dass immer wieder neue Fuzzer erscheinen, können auch in bereits getesteten Programmen neue Schwachstellen bekannt werden. Fuzzer sind das tägliche Handwerkszeug von Cyberkriminellen, die nach neuen Einbruchsmöglichkeiten suchen.
„Fuzzing allein ist keine zuverlässige Methode zur Qualitätssicherung von Software“, sagt Sicherheitsberater Brian Chess, Unternehmensgründer von Fortify Software. Der Trend gehe dahin, nicht nur von außen auf die Applikationen zu schauen, sondern die Schwachstellen früher zu erkennen. Chess läutet somit eine neue Runde im Wettstreit um die beste Prüfmethode in der sicheren Softwareentwicklung ein.
Schaue man sich den Markt für gängige, durchaus professionelle Tools genauer an, dann zeigten sich anhand von Werkzeugen wie Spike, Peach, Protos und vielen anderen mehr, dass sich daraus nur begrenzte Rückschlüsse auf die Softwaresicherheit ziehen ließen. Auch Black-Box-Scanning-Tools wie Cenzic, SPI Dynamics oder Watchfire lösten das Problem nur bedingt.
Dies sei auch deshalb der Fall, weil die Werkzeuge sogar ein latentes neues Managementproblem generierten, ähnlich der automatischen Einbruchsabwehr. Denn zahlreiche Fehlalarme gebe es nicht nur bei der Intrusion Detection, sondern auch beim Fuzzing. Die mit allerlei Informationen gespickten, überbordenden Fehlerberichte gelte es dann nach sinnvollen Kriterien auszuwerten, so dass der Aufwand oft aus dem Ruder laufe.
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…