Die Core Infrastructure Initiative der Linux Foundation unterstützt drei neue Sicherheitsprojekte mit fast einer halben Million Dollar. Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt.
Das Ziel von Reproducible Builds ist es, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen, sodass Entwickler verifizieren können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Dies ist bisher schwierig, da das Ergebnis je nach verwendeter Compilerversion variiert. Triviale Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Solche Variationen will das Projekt normalisieren.
Die Debian-Entwickler Holger Levsen und Jérémy Bobbio leiten das Projekt, das unnötige Variationen für tausende freier Softwareprojekte eliminieren soll. Sie erstellen auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian haben sie schon große Fortschritte erzielt. Ihre Tools werden nach und nach für Fedora, OpenWrt, Ubuntu und andere Distributionen verfügbar.
Fuzzing hingegen ist eine Technik für Software-Tests. Programme laufen in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert, um Fehler zu entdecken. Das Fuzzing Project von Sicherheitsforscher Hanno Böck koordiniert solche quelloffenen Fuzzing-Vorhaben, verbessert und dokumentiert sie. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.
Das dritte von der CII geförderte Projekt ist False Positive Free Testing unter der Leitung von Pascal Cuoq, einem der Gründer von TrustInSoft und dessen Chief Scientist. Es baut auf TIS Interpreter auf, einem kommerziellen Software-Analysewerkzeug, das wiederum auf Frama C basiert, einem C-Debugger. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.
TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.
Die CII wurde 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…