Mit Fuzzing sind beeindruckende Erfolge zu erzielen. So konnte H.D. Moore im Juli 2006 in 31 Tagen genau 31 Bugs mit seinem Fuzzer AxMan aufdecken. Allein im Internet Explorer fanden sich 25 Bugs. Dennoch ist Fuzzing eine „Holzhammermethode“, vergleichbar mit Brute-Force beim Brechen von Verschlüsselungsmethoden. Mit proaktiver sicherheitsbewusster Softwareentwicklung hat Fuzzing nichts zu tun. Softwarehäuser stellen intensives Fuzz-Testing gerne als „Qualitätsbeweis“ heraus.
Doch das Gegenteil ist zumeist der Fall. Fuzzer sind wie ein grobes Sieb, das nur einige Lücken entdeckt. Dadurch, dass immer wieder neue Fuzzer erscheinen, können auch in bereits getesteten Programmen neue Schwachstellen bekannt werden. Fuzzer sind das tägliche Handwerkszeug von Cyberkriminellen, die nach neuen Einbruchsmöglichkeiten suchen.
„Fuzzing allein ist keine zuverlässige Methode zur Qualitätssicherung von Software“, sagt Sicherheitsberater Brian Chess, Unternehmensgründer von Fortify Software. Der Trend gehe dahin, nicht nur von außen auf die Applikationen zu schauen, sondern die Schwachstellen früher zu erkennen. Chess läutet somit eine neue Runde im Wettstreit um die beste Prüfmethode in der sicheren Softwareentwicklung ein.
Schaue man sich den Markt für gängige, durchaus professionelle Tools genauer an, dann zeigten sich anhand von Werkzeugen wie Spike, Peach, Protos und vielen anderen mehr, dass sich daraus nur begrenzte Rückschlüsse auf die Softwaresicherheit ziehen ließen. Auch Black-Box-Scanning-Tools wie Cenzic, SPI Dynamics oder Watchfire lösten das Problem nur bedingt.
Dies sei auch deshalb der Fall, weil die Werkzeuge sogar ein latentes neues Managementproblem generierten, ähnlich der automatischen Einbruchsabwehr. Denn zahlreiche Fehlalarme gebe es nicht nur bei der Intrusion Detection, sondern auch beim Fuzzing. Die mit allerlei Informationen gespickten, überbordenden Fehlerberichte gelte es dann nach sinnvollen Kriterien auszuwerten, so dass der Aufwand oft aus dem Ruder laufe.
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…