Frei zugängliche Computerprogramme, die Nutzer*innen herunterladen, verändern und verbreiten dürfen – das steckt hinter sogenannten „Open-Source-Softwares“. Entwickler*innen machen davon u. a. Gebrauch, um einzelne Softwaremodule für neue Anwendungen aus einer Datenbank zu beziehen, anstatt sie selbst von Grund auf zu entwickeln. Das Problem: Bei den frei zugänglichen Inhalten treten immer wieder Schwachstellen auf, womit die Gefahr für Schadsoftware steigt. Um dieses Risiko zu minimieren, haben sich Wissenschaftler vom Institut für Informatik und vom Heinz Nixdorf Institut der Universität Paderborn für ein Forschungsprojekt mit dem Softwareunternehmen SAP SE zusammengeschlossen. Die Experten*innen haben u. a. Werkzeuge entwickelt, die Schwachstellen auch mit bisher unzureichenden Informationen erkennen und entfernen können. Das auf drei Jahre angelegte Projekt wurde von der Deutschen Forschungsgemeinschaft (DFG) mit knapp 500.000 Euro gefördert.
Risiko für Schadsoftware verringen
„Open-Source-Bibliotheken sind sehr weit verbreitet in der modernen Softwareentwicklung. Zwar gibt es dafür gute Gründe, allerdings erhalten durch den öffentlichen Zugang auch potenzielle Angreifer Einblicke in Teile der zugrundeliegenden Codes. So finden sie Schwachstellen, die sie für Cyber-Angriffe ausnutzen können“, erläutert Jonas Klauke, Wissenschaftlicher Mitarbeiter der Paderborner Fachgruppe „Secure Software Engineering“. Die gute Nachricht: Diese Schwachstellen werden auch von der Open-Source Community gefunden, gemeldet und in einer neuen Version der Bibliothek repariert. Klauke erläutert: „Um die Schwachstellen in den Anwendungen zu schließen, muss die genutzte Bibliothek auf die reparierte Version aktualisiert werden. Dafür müssen die Entwickler*innen informiert werden. Das passiert über Tools, die Bibliotheken mit Schwachstellen erkennen. Das Problem ist, dass diese Tools oft ungenau sind. Deshalb haben wir an einem automatisierten Prozess geforscht, der die Entwickler*innen bei der Behebung von befallenen Bibliotheken unterstützt.“ Dadurch sollen die Sicherheitslücken schnell und unkompliziert geschlossen werden.
„UpCy“ steht bereits zur freien Verfügung
Erklärtes Projektziel war es, Werkzeuge zu entwickeln, die Schwachstellen in Open-Source-Anwendungen auch mit unzureichenden Informationen erkennen können. Dabei herausgekommen sind zwei Tools, von denen eines bereits öffentlich zur Verfügung steht. „Das erste ist ein Scanner, der es ermöglicht, Bibliotheken mit Schwachstellen zu erfassen, die in Anwendungen aktiv genutzt werden. Da das Updaten von Bibliotheken einige Veränderungen mit sich bringt, muss das Programm oft an die neue Version angepasst werden. Dieser Aufwand kann reduziert werden, indem das Updaten auf die genutzten Bibliotheken mit Schwachstellen fokussiert wird“, so Klauke. Das zweite entwickelte Tool mit dem Namen „UpCy“ hilft Nutzer*innen beim automatischen Aktualisieren der befallenen Bibliotheken, indem es neue Versionen von Bibliotheken findet, deren Updates keine Komplikationen verursachen. Während an dem Scanner noch gearbeitet wird, können Anwender*innen „UpCy“ bereits nutzen.
Schwachstellen in Open-Source-Softwares auch ohne den Quellcode finden
Zwar gibt es bereits Tools, die Schwachstellen in Open-Source-Softwares erkennen, allerdings nur, wenn die Metadaten oder der sogenannte „Quellcode“ vorliegen. „Dieser ist in einer für Menschen lesbaren Programmiersprache geschrieben und wird in einen Maschinencode übersetzt, um die Anwendung auf dem Computer ausführbar zu machen. Der Quellcode kann allerdings nicht immer präzise der jeweiligen Version der Bibliothek zugewiesen werden. Fehlen nun auch die Metadaten, werden Bibliotheken mit potentiellen Schwachstellen übersehen“, so Klauke. Mithilfe der entwickelten Prozesskette lassen sich nun auch diese Bibliotheken erkennen, wenn weder Metadaten noch eine direkte Verbindung zum ursprünglichen Quellcode existieren.
Weitere Informationen gibt es hier.
