17:20 - 18:05 Uhr
Taint Analyse: Auffinden von Sicherheitslücken mit Hilfe der statischen Code-Analyse (Vortragssprache: Deutsch)
Thomas Schoen, RIGS IT GmbH
Datenlecks, Datendiebstahl, Manipulation und Beeinträchtigung von Softwaresystem durch Angreifer sind hochbrisante und hochaktuelle Themen. Die Bedeutung der nicht-funktionalen Eigenschaft "Applikationssicherheit" tritt damit für die IT-Abteilung immer stärker in den Vordergrund. Dabei ist die technische Absicherung von Softwaresystemen zugleich schwierig und aufwendig. Meistens gelingt dies nur unvollständig. Ein wesentlicher Schritt dazu ist das Erkennen von bestehenden Sicherheitslücken in den selbst betriebenen Anwendungen.
Die Taint Analyse ist ein Verfahren zur Suche nach solchen Sicherheitslücken in Softwaresystemen wie zum Beispiel SQL Injection, Cross-Site-Scripting, Manipulated File Access, Privacy Leak. Im Gegensatz zu Penetration-Testing handelt sich dabei um eine statische Untersuchung der Applikationssoftware.
Der Vortragende ist selbst mit der Entwicklung eines Software-Tools (Xanitizer) intensiv befasst, das unter Einsatz der Taint Analyse Sicherheitslücken in Software aufspürt. Er kann über diesen Themenbereich aus erster Hand berichten.
Der Vortrag beschreibt und erklärt zunächst einige typische Sicherheitslücken (Applikation Security Vulnerabilities) und deren Auswirkungen. Im weiteren erläutert er die Konzepte der Taint-Analyse (Datenflussanalyse) und zeigt dann wie mit diesem Verfahren der Weg von kompromittierten Daten durch ein Softwaresystem gefunden und verfolgt werden kann.
Anhand eines lauffähigen Beispielgrogramms wird demonstriert wie eine Sicherheitslücke zur Laufzeit ausgenutzt werden kann. Mit Hilfe des Analyse-Werkzeugs Xanitizer wird visualisiert, wie diese Sicherheitslücke im Programmcode manifestiert ist.
Es werden weitere Formen von Sicherheitslücken im Beispielprogrammcode aufgezeigt und auch Möglichkeiten zur Schliessung dieser Lücken angesprochen.
Vor- und Nachteile einer statischen Analyse gegenüber dynamischen Verfahren (wie Penetration-Testing) werden erörtert.
Schließlich wird der Vortrag abgerundet durch eine Darstellung der Einsatzszenarien einer werzeuggestützten Taintanalyse von Code-Reviews bis zu regelmässigem, automatisiertem Security-Monitoring.
Thomas Schoen, RIGS IT GmbH
Thomas Schoen ist Diplom-Informatiker (TU München) und Geschäftsführer der RIGS IT GmbH. Über mehrere Jahre hinweg war Herr Schoen Produktverantwortlicher und Mitentwickler des Architektur- und Qualitätsanalyse-Werkzeugs Sotograph (später SonarJ und Sonograph). Sein Tätigkeitsschwerpunkt liegt in der Analyse und Verbesserung von Application-Security und technischer Codequalität. Über diese Themen hat Herr Schoen in Vorträgen auf Konferenzen wie OOP, JAX, Seacon berichtet.
Zur Zeit beschäftigt er sich insbesondere mit innovativen Methoden zur automatischen und werkzeuggestützten Erkennung von Sicherheitslücken in Softwaresystemen.
Herr Schoen wirkt zudem ehrenamtlich in der Non-Profit-Organisation OWASP (Open Web Application Security Project) mit.