TU-Team findet Sicherheitslücken in Softwaresystemen
- Künstliche Intelligenz
- Top-Meldungen
- Forschung
Seit 2015 fördert das Unternehmen Amazon mit seinem Research Award Forschungsprojekte aus aller Welt – in Bereichen wie Maschinelles Lernen und IT-Sicherheit. In diesem Jahr erhält Prof. Falk Howar von der Fakultät für Informatik der TU Dortmund die Auszeichnung und damit verbundene Förderung in Höhe von 45.000 US-Dollar für sein Projekt „Scaling Dynamic Symbolic Execution for Java“. In der aktuellen Förderrunde wurden 26 Forscher*innen aus elf Ländern ausgezeichnet.
Prof. Howar, worum geht es in dem ausgezeichneten Projekt?
Prof. Falk Howar: Ich beschäftige mich mit meinem Team an der TU Dortmund mit der Analyse und Absicherung autonomer und sicherheitskritischer Softwaresysteme. Uns interessiert dabei besonders der Einsatz lernender und formaler Methoden zur Analyse des Verhaltens solcher Systeme. Ziel unserer Arbeit ist es, Softwaresysteme auf mögliche Sicherheitslücken zu testen. In dem geförderten Projekt nutzen wir dafür Automated Reasoning, also symbolisches Argumentieren auf Basis von Logik. Das ist ein Teilbereich der Künstlichen Intelligenz. Ein Forschungswerkzeug namens „JDart“, ein Framework für dynamische symbolische Ausführung von Java Bytecode, das wir schon seit längerer Zeit entwickeln, bildet die Basis für das neue Projekt. Wir skalieren das Werkzeug jetzt so, dass wir damit die Sicherheit industrieller Web-Anwendungen testen können.
Was können Ihre Analysewerkzeuge leisten?
Die Werkzeuge, die wir entwickeln, bringen formale Logik und Softwaresysteme zusammen. Ein Beispiel: Wir definieren etwa für eine Webanwendung, dass Nutzer*innen keine gefährlichen Eingaben an bestimmten Stellen in die Datenbank schreiben dürften, da das eine Sicherheitslücke wäre. Wir zeichnen also logische Bedingungen auf, durchsuchen daraufhin das Verhalten der Programme und generieren so immer neue Testfälle. Am Ende liefern unsere Werkzeuge formale Beweise dafür, dass es keine Sicherheitslücken in einer Software gibt – oder eben doch. Anders als etwa beim Maschinellen Lernen, müssen unsere Werkzeuge dabei zu definitiven Aussagen kommen. Sie liefern keine Annäherungen oder Wahrscheinlichkeiten. Falls ein formaler Beweis durch das Werkzeug nicht erreicht werden kann, gibt das es auch das Scheitern als Ergebnis aus. Unsere Werkzeuge stellen wir übrigens frei zur Verfügung, sodass andere Gruppen daran weiterarbeiten können.
Ist Ihre Forschung auch für die Industrie interessant?
Bisher greift die Industrie vorwiegend auf menschliche Expert*innen zurück, die jahrelange Erfahrung haben und viel Geld kosten, um solche Sicherheitslücken in ihrer Software zu finden. Unternehmen würden stark davon profitieren, die Analyse und Absicherung ihrer Software zu automatisieren und zu professionalisieren. Daran forschen wir: Unsere Werkzeuge sollen die Fehlerfreiheit von Softwarekomponenten durch automatische Prozesse sicherstellen. Das ist extrem relevant, da in den USA Unternehmen bereits für erhebliche Schäden – zum Beispiel Identitätsdiebstahl – aufkommen müssen, die durch solche Sicherheitslücken entstanden sind.
Ein weiterer Schwerpunkt unserer Arbeit, der auch für die Industrie interessant ist, ist die Sicherheit autonomer Systeme, beispielsweise des autonomen Fahrens. Zusammen mit der Volkswagen AG haben wir bereits an innovativen Ansätzen zur Absicherung von autonomen Fahrfunktionen geforscht und diese am Prototypen eines autonomen Spurwechselassistenten evaluiert.
Ansprechpartner für Rückfragen: