(Robert / Flickr / cc-by-2.0)
Bonner Informatiker haben ein Analysetool entwickelt, mit dem sich Sicherheitslücken in Routern und Smart-Home-Geräten ermitteln lassen. Sie setzen dabei auf die graphische Darstellung von Maschinensprache.
Die Router von mehr als einer Million Telekom-Kunden waren im vergangenen November betroffen, als ein Hacker eine Sicherheitslücke ausnutzte und die Geräte lahmlegte. Um künftig Angriffe wie diese zu vermeiden, soll Hilfe vom kürzlich gegründeten Unternehmen Code Intelligence kommen.
Den Sicherheitslücken auf der Spur
Die Firma ist eine Ausgründung der Universität Bonn und hat ein Analysetool entwickelt, das die Firmware vernetzter Geräte, wie Router und andere mit dem Internet verbundene Geräte, wie etwa Komponenten eines Smart Home, automatisiert nach Schwachstellen untersucht. Da der Quelltext für diese Firmware üblicherweise nicht mitgeliefert wird, ist für Unternehmen, die viele Geräte importieren, die Suche nach Sicherheitslücken sehr aufwändig. Die Firmware ist das Betriebssystem der Geräte und übernimmt ihre zentrale Steuerung. Sie liegt nur in binärer Maschinensprache vor und ist deshalb selbst für geübte Programmierer nicht direkt lesbar.
Das Gründerteam von Code Intelligence (v.l.): Philipp Langnickel, Henning Perl, Sergej Dechand, Khaled Yakdan und Mentor Prof. Dr. Matthew Smith von der Universität Bonn.Bild: Barbara Frommann/Uni Bonn
Die Bonner Informatiker haben nun einen neuen Dekompilierer entwickelt, der den binären Code der Firmware in menschenlesbare Programmiersprachen zurückführen kann. Dabei wird der rückübersetzte Quelltext und seine Verzweigungen graphisch dargestellt, etwa wie Entscheidungsbäume. Diese graphischen Darstellungen untersucht das Tool von Code Intelligence auf Schwachstellen und Backdoors. Um diese festzustellen, vergleichen Maschinenlern-Algorithmen der Bonner die Darstellungen mit bereits bekannten Sicherheitslücken, die in einer Datenbank, ebenfalls in Form der graphischen Darstellungen, gespeichert sind. Diese Datenbank speist sich aus zahlreichen öffentlich zugänglichen Plattformen, auf denen Sicherheitslücken in Software-Bibliotheken veröffentlicht werden. Findet sich in der Datenbank von Code Intelligence eine Übereinstimmung, steckt die Sicherheitslücke mit hoher Wahrscheinlichkeit auch in der untersuchten Firmware.
Maschinencode als graphische Darstellung
Maschinencode wieder lesbar zu machen, ist an sich nicht neu. “Der große Fortschritt unserer Methode ist, dass sich die IT-Sicherheit unabhängig von der Art der verwendeten Komponenten und deren Architektur überprüfen lässt”, sagt Kahled Yakdan von Code Intelligence. Mit der Deutschen Telekom konnte bereits ein Pilotkunde gewonnen werden.
(Jennifer Lepies) / (jle)