Die Core Infrastructure Initiative der Linux Foundation unterstützt drei neue Sicherheitsprojekte mit fast einer halben Million Dollar. Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt.
Das Ziel von Reproducible Builds ist es, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen, sodass Entwickler verifizieren können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Dies ist bisher schwierig, da das Ergebnis je nach verwendeter Compilerversion variiert. Triviale Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Solche Variationen will das Projekt normalisieren.
Die Debian-Entwickler Holger Levsen und Jérémy Bobbio leiten das Projekt, das unnötige Variationen für tausende freier Softwareprojekte eliminieren soll. Sie erstellen auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian haben sie schon große Fortschritte erzielt. Ihre Tools werden nach und nach für Fedora, OpenWrt, Ubuntu und andere Distributionen verfügbar.
Fuzzing hingegen ist eine Technik für Software-Tests. Programme laufen in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert, um Fehler zu entdecken. Das Fuzzing Project von Sicherheitsforscher Hanno Böck koordiniert solche quelloffenen Fuzzing-Vorhaben, verbessert und dokumentiert sie. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.
Das dritte von der CII geförderte Projekt ist False Positive Free Testing unter der Leitung von Pascal Cuoq, einem der Gründer von TrustInSoft und dessen Chief Scientist. Es baut auf TIS Interpreter auf, einem kommerziellen Software-Analysewerkzeug, das wiederum auf Frama C basiert, einem C-Debugger. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.
TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.
Die CII wurde 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…