..

CASED wird gefördert durch

Landes-Ofensive Entwicklung Wissenschaftlich-ökonomischer Exzellenz

Pressemeldungen

1. Juni 2015

Mehr Sicherheit für Java: Schwachstellen erkennen

CASED-Forscher mit Oracle Research Collaboration Award ausgezeichnet

Mit dem Research Collaboration Award von Oracle geehrt: Professorin Mira Mezini und Professor Eric Bodden. Bild: Andreas Renz
Mit dem Research Collaboration Award von Oracle geehrt: Professorin Mira Mezini und Professor Eric Bodden. Bild: Andreas Renz

Informatiker der TU Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT erhalten einen mit knapp 73.000 Euro dotierten Oracle Research Collaboration Award. Der US-amerikanische Soft- und Hardwarehersteller fördert mit dem Preisgeld ein gemeinsames Projekt zur automatischen Erkennung von Sicherheitslücken der Java-Laufzeitbibliothek.

Die Java-Laufzeitumgebung ist eine Softwareplattform, die weltweit auf Milliarden Geräten installiert ist und häufig als Angriffspunkt von Online-Kriminellen genutzt wird.
Ein Wissenschaftlerteam um CASED-PI Eric Bodden, Informatikprofessor an der TU Darmstadt und Leiter der Abteilung Secure Software Engineering am Fraunhofer SIT, und Mira Mezini, Professorin für Softwaretechnik an der TU Darmstadt und CASED-Direktoriumsmitglied, bauen damit auf ein bereits 2014 durch Oracle gefördertes Vorgängerprojekt auf: In diesem analysierten sie die Ursachen bekannter Schwachstellen in der von Oracle als Open Source-Software angebotenen Java-Laufzeitbibliothek und entwickelten das Analyserahmenwerk „FlowTwist“.

FlowTwist findet Sicherheitslücken im Programmcode der Bibliothek automatisch und ohne weitere Unterstützung der Java-Softwareentwickler. Das Werkzeug spürt bestehende Schwachstellen auf und hilft, neue Sicherheitslücken bei der Weiterentwicklung zu verhindern.

In ihrem aktuellen Projekt werden die Informatiker dieses Analyseprogramm weiter verbessern, um das Finden weiterer Arten von Schwachstellen zu ermöglichen. Außerdem wollen sie eine sichere und pflegeleichte Alternative zur aktuellen Umsetzung der Zugriffskontrolle in der Java Standard Library entwickeln. Diese sollte eigentlich vor allen sicherheitskritischen Operationen den Zugriff kontrollieren, indem sie die Herkunft des gerade ausgeführten Programmcodes überprüft. In der Praxis werden die Prüfungen jedoch oft abgekürzt. In der Vergangenheit diente dies Kriminellen häufig als Angriffspunkt auf die Java-Plattform.

Bodden und Mezini führen das Projekt an dem vom Bundesministerium für Bildung und Forschung geförderten IT-Sicherheitszentrum EC SPRIDE an der TU Darmstadt durch. Beide sind auch am LOEWE-Zentrum für IT-Sicherheit CASED aktiv.

Weitere Informationen
Wissenschaftliche Veröffentlichung zu FlowTwist: http://www.bodden.de/pubs/lhbm14flowtwist.pdf

Flowtwist kann auf GitHub heruntergeladen werden: https://github.com/johanneslerch/FlowTwist

Wissenschaftliche Ansprechpartner

Prof. Dr. Eric Bodden
Technische Universität Darmstadt
Fraunhofer SIT
Rheinstraße 75, 64295 Darmstadt
Tel.: +49 6151 16-75422
eric.bodden{at}ec-spride.de

Prof. Dr. Mira Mezini
Technische Universität Darmstadt
Hochschulstraße 10, 64289 Darmstadt
Tel: +49 6151 16-21360
mezini{at}cs.tu-darmstadt.de

Flyer

CASED Flyer

PDF-Download (1,5 MB)

Presse- und Öffentlichkeitsarbeit

Mornewegstraße 32
64293 Darmstadt
Tel.: (0) 6151 16 4895
Fax: (0) 6151 16 4825
E-Mail: pr{at}cased.de