Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Weitere Magazine

Empfehlungen

Info

des Werkzeugs bis zu seinen Ausgaben. Neben Informationen, die die Arbeit mit dem SecFlow-Framework vereinfachen, bietet das Handbuch auch einige Beispiele. Bewertung von Analysegüte und Performanz Zur Absicherung der Richtigkeit der Analyseergebnisse und zur Verifizierung der Werkzeugfunktionalität des erstellten Prototyps wurde die SecuriBench Micro [SecuriBench 2006] benutzt, eine von der Stanford University veröffentlichte Sammlung von kurzen Programmbeispielen mit charakteristischen Problemfällen für statische Quellcodeanalysen. Neben der Unterstützung der laufenden Regressionstests während der Weiterentwicklung des Prototyps gewährleisteten diese Testfälle eine objektive Bewertung der Fähigkeit des SecFlow-Frameworks, kritische Datenflüsse zu erkennen und dabei möglichst wenige falschpositive oder falsch-negative Befunde zu ermitteln. Für die Programmiersprache Java wurden 128 an die [SecuriBench 2006] angelehnte Testfälle ausgeführt. 110 Testfälle lieferten das korrekte, vollständige Ergebnis; 12 Testfälle ergaben einen falsch-positiven Befund und 6 Testfälle einen falsch-negativen Befund. Somit wurden etwa 86 Prozent der kritischen Datenflüsse richtig identifiziert bei einer Quote von weniger als 9,4 Prozent falsch-positiven Resultaten. Eine vergleichbare, ebenfalls auf [SecuriBench 2006] basierende Testsuite wurde von den Kooperationspartnern SHE und CC auch für die Programmiersprache C# konzipiert. Auch für diese Testfälle wurde eine vergleichbare Testabdeckung und Werkzeuggüte erzielt. Damit wurde für diese Testfallsammlungen das ursprüngliche Ziel, möglichst viele Datenflussprobleme zu erkennen und dabei weniger als 50 Prozent falsch-positive Befunde zu liefern, erreicht. Ob die erzielte Genauigkeit in der Praxis auch bei sehr umfangreichen Quellprogrammen ähnlich positiv bleibt, muss sich noch erweisen. Nach derzeitigem Befund bleibt die Performanz des Werkzeugs bisher hinter den im Projekt gesetzten Erwartungen zurück. Zu einem Teil ist dies der Zeitnot geschuldet, die leider ein umfangreicheres Feintuning einzelner Komponenten bzw. Konzepte verhinderte. Die Projektpartner sind zuversichtlich, dass die Analyseregeln noch signifikantes Optimierungspotential bergen, das in Zukunft noch erschlossen werden soll. Allerdings zeigt die allgemeine Erfahrung auch, dass statische Datenflussanalyse offenbar ein inhärent schwieriges Problem darstellt. Ein Indiz dafür liefern zum Beispiel auch Erfahrungsberichte von Anwendern verschiedener freier oder kommerziell vertriebener Analysewerkzeuge: Alle bekannten Analyseansätze leiden entweder unter geringer Analyseschärfe, einer hohen Rate falsch-positiver Befunde oder unter beschränkter Analysegeschwindigkeit — meist unter allen genannten Defiziten in unterschiedlichem Maße. Daher ist auch im günstigsten Fall nicht zu erwarten, dass ein Analysewerkzeug ein rundum befriedigendes Analysevermögen hat. Nach heutigem Kenntnisstand werden Datenflussanalysen immer erheblichen Beschränkungen unterliegen. Werkzeugvalidierung Neben den oben beschriebenen "kleinen" Testfällen war es notwendig, die Funktionalität und Einsatzfähigkeit des Werkzeugs unter praxisnahen Bedingungen zu erproben. Dazu wurden insbesondere von den Praxispartnern ICT und SHE verschiedene Testfälle definiert, die Verwundbarkeiten in der Realität darstellen. ICT mit seinem Know-how bezüglich J2EE-Plattformen und Internet-Anwendungen stellte dafür Teile seines Content Management System ICContent zur Verfügung, in dem gezielt Verwundbarkeiten in verschiedenen Klassen eingebaut wurden. Die eingebauten Schwachstellen wurden so aufgebaut, dass sie aus verschiedenen Gefahrenbereichen stammen. So wurden insbesondere Schwachstellen aus den wichtigen Bereichen Command Injection, Error-Handling und Austausch von Systemparametern in die Testklassen eingebaut. SHE als Spezialist für Anwendungen in den Programmiersprachen C# und .NET stellte eine Testanwendung in einer alternativen Sprache (.Net) mit entsprechenden Eigenschaften zur Verfügung. Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 18 von 27
Weiterhin wurden im Rahmen der Evaluierung von Testanwendungen Datenflüsse spezifiziert und Junit Tests geschrieben. Dies war notwendig, um die entsprechenden Klassen über das Datenflussanalyse-Werkzeug auf sicherheitskritische Schwachstellen hin überprüfen zu können. Damit die Tests durchgeführt werden konnten, mussten für weite Teile der Testanwendungen Datenflussbeschreibungen – d. h. Summaries – erstellt werden. Mit ihrer Hilfe kann das Analysewerkzeug die Datenflüsse außerhalb seines Analysebereichs erkennen und entscheiden, ob sich dabei Schwachstellen ergeben. Im Zusammenhang mit der Erstellung von Testfällen arbeiteten ICT und SHE eng zusammen. In mehreren Teilprojekttreffen zum Thema "Test" erörterten sie gemeinsam relevante Schwachstellen und ein entsprechendes Vorgehen, um entsprechende Codestellen in den bestehenden Anwendungen definieren zu können. In der Validierungsphase des Projektes wurde der Werkzeug-Prototyp über einen Zeitraum von fünf Wochen von den Anwendungspartnern SHE und ICT unter kontrollierten, realitätsnahen Versuchsbedingungen erprobt. Neben ausführlichen Funktionstests wurde auch die Usability, d. h. der Komfort bei der Bedienung des Werkzeugs betrachtet. Die Ergebnisse wurden protokolliert und statistisch ausgewertet. Von den Implementierungspartnern IESE und CC wurden daraufhin notwendige Fehlerkorrekturen durchgeführt und die durch die Benutzer eingebrachte Verbesserungen und Erweiterungen im Handling von SecFlow implementiert. Wissensbasis Um dem Anwender von SecFlow später auch eine inhaltliche Hilfe zu den gefundenen Schwachstellen zu bieten, wurde von ICT eine Wissensbasis angelegt. Diese beinhaltet Codebeispiele und Entwicklerhinweise, auf die bei Problemen zugegriffen werden kann. Die Fälle sind hierarchisch aufbereitet und definierten Problembereichen zugeordnet. Die Wissensbasis wurde bisher mit ca. 50 Fällen aus verschiedenen sicherheitsrelevanten Bereichen gefüllt. Über das Datenfluss-Werkzeug und über den von ICT entwickelten Source Code Scanner erhält der Anwender einfachen und direkten Zugriff auf die Fälle der Wissensbasis. Zur Umsetzung wird die Plattform www.secflow.de genutzt, die mit dem Content Management System ICContent betrieben wird. Musterbasierte Codeanalyse Neben dem datenflussbasierten SecFlow-Werkzeug wurde für die Sprache Java ein musterbasierter Source Code Scanner als Prototyp für Java in Form eines Eclipse-Plugins während des Projektes durch ICT erstellt. Das Tool dient der Ermittlung von möglichen Schwachstellen, die rein musterbasiert, also unabhängig vom Kontroll- und Datenfluss, erkennbar sind. Hintergrund dieser Entwicklung war der Idee, sicherheitskritische Codestellen bereits während der Codierung aufzudecken und dem Entwickler ähnlich einer Rechtschreibprüfung anzuzeigen. 2.2 Darstellung des voraussichtlichen Nutzens 2.2.1 Nutzen für die Allgemeinheit Das Open Web Application Security Project (OWASP) veröffentlicht jedes Jahr die Rangliste der wichtigsten Sicherheitsmängel von Web-Anwendungen. Nach wie vor belegen dabei kritische Sicherheitsmängel, die auf ungeprüften Eingabedaten basieren, die vordersten Plätze. Das SecFlow-Werkzeug zeigt solche Sicherheitsschwachstellen auf Anwendungsebene automatisch an. Das Ergebnis des SecFlow-Projektes ist ein funktionsfähiger Prototyp eines Analysewerkzeugs für Java- und .Net-Anwendungen. Es kann die Datenflüsse in Anwendungen auf reale und potentielle Sicherheitslücken überprüfen und zeichnet sich durch ein hohes Maß an Sprachunabhängigkeit aus. Ein Großteil der Sicherheitslücken beruht auf Fehlern bei der Programmierung, die auf fehlendes Wissen der Entwickler über Datei SecFlow_Gesamtschlussbericht_V10.odt Version 1.0 Datum 2009-02-02 Bearbeiter/in Dana Richter Seite 19 von 27
Seite 1 und 2: PH_GE_Titelseite 3.0, Master V3.0,
Seite 3 und 4: Inhaltsverzeichnis 1 Kurze Darstell
Seite 5 und 6: 1.3 Planung und Ablauf des Vorhaben
Seite 7 und 8: Entgegen der ursprünglichen Planun
Seite 9 und 10: 2 Eingehende Darstellung 2.1 Erziel
Seite 11 und 12: � einem sprachunabhängigen Werkz
Seite 13 und 14: Die Filterkomponente (Filter Compon
Seite 15 und 16: dass eine Anbindung von PHP prinzip
Seite 17: Um den in der ersten Projektphase e
Seite 21 und 22: verschiedener Programmiersprachen u
Seite 23 und 24: [Peine et al. 2006] H. Peine, S. Ma
Seite 25 und 26: 3 Literaturverzeichnis [Aho et al.
Seite 27: [Whaley&Lam 2004] J. Whaley, M. Lam

Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?