Modell zur Vorhersage von Sicherheitslücken

Dienstag, 04.07.2006 | 16:51 von Frank Ziemann
Amerikanische Forscher wollen die Zahl zu erwartender Schwachpunkte in Software-Paketen wie Windows oder Linux prognostizieren.

Forscher der Universität von Colorado in den USA arbeiten seit einiger Zeit an Modellen zur Vorhersage von Sicherheitslücken in umfangreichen Software-Lösungen. Dabei geht es allerdings nur um die Abschätzung der Zahl zu erwartender Schwachstellen, nicht um konkrete Probleme im Programm-Code. Erste Erfolgsmeldungen über zutreffende Prognosen bestätigen den Ansatz der Wissenschaftler.

Der Informatik-Professor Yashwant K. Malaiya und sein Doktorand Omar Alhazmi von der Colorado State University (CSU) haben zwei Vorhersagemodelle entwickelt, die sich ergänzen sollen. Das erste Modell wird nach seinen Erfindern "Alhazmi-Malaiya Logistic Model" genannt. Der zweite Ansatz ist vom jeweiligen Entwickler einer Software abhängig und sagt die Zahl der Schwachstellen in 1000 Zeilen Programmquelltext voraus.

Das Alhazmi-Malaiya Logistic Model soll nach Angaben der Universität bereits seine Eignung bewiesen haben. So lautete die Prognose im Jahr 2005, dass die Anzahl der in Windows XP gefundenen Anfälligkeiten schnell wachsen würde. Tätsächlich stieg diese Zahl von 88 im Januar 2005 auf aktuell 173. Damit soll die Fehlerdichte in Windows XP das Niveau früherer Windows-Versionen erreicht haben.

Das Modell sagte auch vorher, dass in Red Hat Linux 6.2 nur noch wenige Anfälligkeiten gefunden würden, was durch die bei 117 stagnierende Zahl bestätigt wird. Die Zahl der in Windows 2000 erwarteten Sicherheitslücken wurde mit einem Wert zwischen 294 und 410 prognostiziert. Zum Zeitpunkt der Prognose waren es bereits 172, mittlerweile sollen es 250 sein, während weiter neue Schwachstellen entdeckt werden.

Diese Erfolge bei der Vorhersage erscheinen zunächst nicht gerade sensationell, basieren jedoch nicht auf Erfahrung und Intuition von Menschen sondern auf statistischen Modellen, die auch auf weniger bekannte Software anwendbar sein sollen. Sie können nach Ansicht von Professor Malaiya Software-Herstellern wie etwa Microsoft dabei helfen, die notwendigen Ressourcen zur schnellen Entwicklung von Sicherheits-Updates einzuplanen.

Malaiya ist sich mit seinen Informatikkollegen einig, dass es schlicht unmöglich ist, so umfangreiche Software-Pakete wie Betriebssysteme, Web-Server oder Browser zu entwickeln, ohne Fehler einzubauen.

Dienstag, 04.07.2006 | 16:51 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
192546