Werkzeuge zur Codeanalyse: Sicherheits- oder Hackertools?

Tools für automatisierte Tests zur Softwaresicherheit können zum Teil erstaunlich gute Ergebnisse vorweisen. Im Endeffekt liefern sie aber nur Hinweise darauf, dass sich weitere Lücken im Code versteckt halten.

Black-Box-Tools, etwa Fuzzing-Utilities, werden heutzutage nicht nur bestimmungsgemäß von Entwicklern, sondern auch von Hackern professionell eingesetzt, um die Sicherheit von Webanwendungen zu kompromittieren und Schadcode einzuschleusen. Von solchen Attacken sind zunehmend auch bekannte Sites betroffen, etwa jüngst die ARD.

Gegen Fuzzing-Attacken gibt es kaum Möglichkeiten eines Schutzes, außer den eigenen Code regelmäßig selbst Fuzzing-Tests zu unterziehen. Die Vielzahl der verfügbaren Werkzeuge machen dies jedoch extrem aufwändig.

Bei der statische Codeanalyse, sei es mit dem Quellcode oder mit dem fertigen Executable, sollte man darauf achten, dass sie nur von den Entwicklern selbst genutzt werden kann. Kommt der Code in falsche Hände, so können sich Hacker dieser Technologie bedienen.

Verhindern kann man dies nur bei rein serverbasierenden Anwendungen, die keinen Code auf dem Client-Rechner ausführen. Verwendet man Java, Javascript oder Flash, so wird immer Code an den Client weitergegeben.

Für die Sicherheit von Software ist der Einsatz von automatisierten Tools ein große Hilfe. Der manuelle Code-Review durch einen erfahrenen Entwickler, der das Projekt von Anfang an begleitet, gehört aber weiterhin zum Pflichtprogramm bei der Softwareentwicklung. Die Tools sorgen nur für eine Entlastung.

Für C/C++ finden Entwickler nützliche Ressourcen zur sicheren Entwicklung auf den Webseiten des US-CERT. Ferner kann man sich einer Community wie der OWASP informieren und engagieren.