Security-Lecks visuell entdecken

GrammaTech kombiniert für sein Tool »Visual Taint Analyse« hoch entwickelte Datenfluss-Analysen mit einer proprietären Visualisierungs-Engine und zeigt so schwer auffindbare, fehlerhafte Datenpfade in Embedded Systemen übersichtlich an.

Die visuelle Fehleranalyse von GrammaTech ist Teil von »CodeSonar«, einem statischen Analysetool, und erfasst potenziell gefährliche Datenströme in auf C/C++-basierenden Anwendungen, die Entwickler von Hand selbst mit erheblichem Aufwand kaum zuverlässig feststellen können. Nach der Identifizierung zeichnet »CodeSonar« die möglichen Pfade der Daten in der Applikation auf, die zu einem unerwarteten oder unsicheren Programmverhalten führen könnten.

Dank dieser visuellen Darstellung der fehlerhaften Datenströme und durch das Einblenden von Fehlermarkierungen in Quellcode-Renderings sehen die Entwickler die Auswirkungen gefährlicher Eingaben auf das Verhalten ihres Codes. Beispielsweise lässt sich der Verlauf von gefährlichen Daten von einem Programm in ein anderes nachvollziehen. Während andere Tools nur einfache Warnungen für Fehlerwerte ausgeben, zeigt die proprietäre Visualisierungs-Engine von CodeSonar bestehende Schwachstellen in einer besser umsetzbaren und prüffähigen Oberfläche auf.

»Schwachstellen aufgrund von fehlerhaften Daten sind für Entwickler meist schwer zu finden, da Anwendungen oft Code aus unterschiedlichen Quellen nutzen, wodurch unerwartete Angriffsflächen entstehen, die bösartige Hacker ausnutzen können«, erklärt Dr. Paul Anderson, VP of Engineering von GrammaTech. »Durch die Kombination ausgefeilter Funktionen zur Analyse fehlerhafter Daten mit unserer einzigartigen Visualisierungs-Engine können Entwickler ihre Embedded Systeme einfacher und schneller vor den steigenden Bedrohungen durch komplexe Sicherheitslücken schützen.«

CodeSonar ist für integrierte Umgebungen mit »Null-Fehler-Toleranz« ausgelegt und analysiert sowohl Quellcode als auch Binärcode, um schwerwiegende Sicherheits- und Qualitätsprobleme zu identifizieren, die Systemabstürze, Speicherschäden, Datenlecks, Data Races oder unerwartete Schwachstellen verursachen. »Viele Embedded-Entwicklerteams haben Schwierigkeiten, intern erstellten Code, Drittanbieter-Code und Open-Source-Code unter einen Hut zu bringen und zugleich mit dem rasch wechselnden Angebot an Multicore-Prozessoren und steigenden Konnektivitätsoptionen von Geräten Schritt zu halten«, resümiert Chris Rommel, Executive Vice President von VDC Research. »Um sichere Embedded-Anwendungen für fehlerintolerante Geräte zu erstellen, brauchen Entwickler automatisierte Tools, mit denen sie Hackern immer einen Schritt voraus sind.«