Quo Vadis Softwaresicherheit? Robuste Softwaresysteme im Jahr 2020

Prof. Dr. Thorsten Holz
Lehrstuhl für Systemsicherheit, Ruhr-Universität Bochum

Wirtschaftsspionage per Software-Trojaner, erfolgreiche Einbrüche in das Netz von Bundesbehörden,
kompromittierte Industrieanlagen, … Diese Liste ließe sich beliebig erweitern und wöchentlich werden
neue Sicherheitsvorfälle aufgedeckt. Dabei sind Softwarefehler eine der Grundursachen, häufig
bilden sie den ersten Schritt hinter erfolgreichen Angriffen. Entsprechend benötigen wir effiziente und
effektive Methoden, um komplexe Softwaresysteme robust gegen Angriffe zu machen.

Im Rahmen dieses Vortrags werden zwei komplementäre Ansätze vorgestellt, um Softwaresysteme zu härten: Einerseits stellt der Professor seine Ansätze zu Control-Flow Integrity (CFI) vor. Dies ist eine Technik zum proaktiven Schutz gegen die Ausnutzung von Softwareschwachstellen und er erläutert, wie
solche Verfahren heute bereits in der Praxis genutzt werden können. Anderseits stellt er seine Methoden zum automatisierten Testen von Softwaresystemen vor, um Fehler möglichst frühzeitig im
Entwicklungsprozess zu identifizieren. Sie nutzen dabei vor allem eine Technik namens Fuzzing und
haben damit schon mehr als 100 Fehler in populären Programmen gefunden, die er anhand von Beispielen erläutern wird.